В конце декабря 2025 года тактический шутер Rainbow Six Siege оказался в центре крупного киберинцидента. Неизвестные злоумышленники получили контроль над рядами внутриигровых систем, вмешались в процессы модерации и фактически взломали экономику игры, раздав пользователям огромные объемы премиальной валюты и косметических предметов. Инцидент уже привел к вынужденной остановке серверов и продолжает активно расследоваться специалистами по кибербезопасности.
Масштаб взлома Rainbow Six Siege и реакция Ubisoft
По сообщениям игроков и многочисленным скриншотам в сети, атакующие получили возможность управлять банами и разблокировками аккаунтов, вмешиваться в работу модерации и массово изменять состояние инвентарей пользователей. Наиболее заметным последствием стало беспрецедентное начисление внутриигровой валюты R6 Credits.
R6 Credits — это премиальная валюта Rainbow Six Siege, приобретаемая за реальные деньги. На момент инцидента пакет в 15 000 кредитов стоил 99,99 доллара США. По оценкам, хакеры суммарно «распределили» около 2 млрд R6 Credits, что эквивалентно примерно 13,33 млн долларов США в пересчете по текущему прайсу. По сути, внутриигровая экономика была кратковременно «сломана» извне.
27 декабря 2025 года официальный аккаунт Rainbow Six Siege в соцсети X подтвердил факт атаки. Представители Ubisoft заявили, что команда разработчиков уже работает над устранением проблемы. Вскоре компания временно отключила игровые серверы и внутриигровой маркетплейс, указав, что это необходимо для стабилизации системы: «Siege и маркетплейс отключены, пока команда фокусируется на решении проблемы».
Ubisoft отдельно подчеркнула, что игроки не будут наказаны за использование полученных в результате взлома кредитов. При этом все транзакции, совершенные после 11:00 UTC 27 декабря, были откатаны. Компания предупредила, что пользователи могут временно потерять доступ к отдельным предметам до полного завершения восстановительных работ.
Утром 29 декабря 2025 года разработчики сообщили о завершении тестирования и возобновлении работы игры. Тем не менее расследование инцидента и внедрение окончательных исправлений, по оценке Ubisoft, займут еще около двух недель. Внутриигровой маркетплейс при этом остается недоступен.
MongoDB и CVE-2025-14847: возможный вектор атаки
Наиболее обсуждаемая версия касательно технического вектора атаки связана с MongoDB, популярной NoSQL-базой данных. Исследовательская группа VX-Underground сообщает, что злоумышленники утверждают: для проникновения в инфраструктуру Ubisoft они использовали недавно раскрытую уязвимость CVE-2025-14847.
Эта уязвимость относится к классу RCE (Remote Code Execution) и потенциально позволяет неаутентифицированным удаленным атакующим извлекать данные из памяти уязвимых экземпляров MongoDB, включая учетные записи, токены и ключи аутентификации. Особую опасность создает наличие публичного PoC-эксплойта, который значительно снижает порог входа для атакующих и ускоряет массовую эксплуатацию уязвимости.
На данный момент официального подтверждения, что именно CVE-2025-14847 стала точкой входа в инфраструктуру Ubisoft, не существует. Тем не менее совпадение по времени с раскрытием критической RCE-уязвимости и характером последствий (доступ к внутренним системам и сервисам) делает эту версию одной из наиболее вероятных в оценках ИБ-сообщества.
Пять хакерских группировок и противоречивые заявления
По данным VX-Underground, вокруг инцидента сформировалась сложная картина с участием нескольких независимых хакерских группировок, дающих противоречивые комментарии о своей роли во взломе Ubisoft.
Первая группа заявила, что использовала уязвимости в Rainbow Six Siege для манипуляций банами, инвентарем и распространения внутриигровой валюты. По оценке исследователей, суммарный «подарок» игрокам составил эквивалент около 339 млн долларов в виде R6 Credits. При этом, по их словам, доступ к персональным данным пользователей получен не был.
Вторая группа утверждала, что использовала уязвимость в MongoDB для доступа к внутренним Git-репозиториям Ubisoft и якобы похитила архив исходных кодов игр компании «с 1990-х годов до наших дней». Позже выяснилось, что эта часть заявления не соответствует действительности, однако у группы действительно имеются некоторые внутренние данные компании.
Третья группа объявила, что получила пользовательские данные Ubisoft через ту же уязвимость MongoDB и пытается шантажировать компанию, требуя выкуп. Исследователи отмечают, что эти заявления не подтверждаются и с высокой вероятностью являются попыткой присвоить себе чужой инцидент.
Четвертая группа оспаривает утверждения «конкурентов», заявляя, что вторая группа фактически не имела доступа к исходному коду, а также пыталась ввести в заблуждение первую группу.
Пятая группа, появившаяся позже остальных, предоставила VX-Underground технические детали: как именно вторая группа получала доступ к внутренним данным Ubisoft (подкрепив это фотографическими доказательствами), а также фрагменты кода, демонстрирующие методы манипуляций, использованные первой группой. По оценке исследователей, пятая группировка специализируется на создании и продаже читов для игр Ubisoft и состоит из «очень сильных реверс-инженеров».
По данным VX-Underground, Ubisoft осведомлена о деятельности групп под номерами один, два, четыре и пять. При этом все перечисленные группировки, за исключением третьей, знакомы друг с другом и в той или иной степени взаимодействуют. Пятая группа пообещала предоставить подробный технический отчет, который впоследствии можно будет опубликовать публично.
Издание BleepingComputer подчеркивает, что на текущий момент ни одно из этих заявлений не получило документального подтверждения — ни эксплуатация уязвимости MongoDB CVE-2025-14847, ни доступ к исходному коду Ubisoft, ни кража пользовательских данных. Достоверно известно лишь то, что компания признала факт манипуляций внутриигровыми системами Rainbow Six Siege.
Уроки для игровой индустрии и рекомендации по кибербезопасности
Инцидент с Rainbow Six Siege демонстрирует, насколько уязвимы современные онлайн-игры перед комплексными атаками, затрагивающими как игровые серверы, так и вспомогательную инфраструктуру — базы данных, системы аутентификации, внутренние репозитории и инструменты разработки.
С точки зрения кибербезопасности, подобные инциденты подчеркивают критическую важность:
- оперативного управления патчами для баз данных и других ключевых компонентов;
- сегментации сети, чтобы компрометация одного сервиса не вела к цепной реакции в инфраструктуре;
- надежного управления секретами (ключи, пароли, токены) и их хранения вне приложений;
- непрерывного мониторинга аномальной активности и журналирования операций в админских и игровых системах;
- регулярного пентестинга и баг-баунти-программ, ориентированных именно на игровые механики и внутриигровую экономику.
Для игроков важны базовые меры цифровой гигиены: использование уникальных паролей для Ubisoft Connect, включение двухфакторной аутентификации, внимательное отношение к фишинговым письмам и подозрительным сообщениям о «блокировках» и «подарках».
История с Rainbow Six Siege наглядно показывает, что атака на одну игру способна затронуть миллионы пользователей и нанести серьезный репутационный ущерб издателю. По мере развития расследования стоит следить за официальными обновлениями Ubisoft и аналитикой профильных исследовательских групп. Для компаний игровой индустрии этот инцидент — повод пересмотреть защиту своих серверов, ускорить внедрение патчей и выстроить более зрелые процессы кибербезопасности, прежде чем подобные угрозы затронут их собственные проекты.
