Det opplyser fire kilder med kjennskap til hackingen til nyhetsbyrået Reuters.
Skadeprogrammet, som kalles Regin, benyttes av etterretningstjenestene i USA, Storbritannia, Australia, New Zealand og Canada, som har et samarbeid gjennom den såkalte UKUSA-avtalen.
Ingen av de fem etterretningstjenestene ønsker overfor Reuters å kommentere opplysningene om hackingen av Yandex, og det er derfor uklart hvem av dem som står bak.
Dataangrepet mot den russiske søkemotoren fant ifølge nyhetsbyråets kilder sted mellom oktober og november i fjor.
– Rakk ikke å utrette skade
En talsmann for Yandex bekrefter at de er kjent med hackingen, men ønsker ikke å gi flere detaljer.
– Dette angrepet ble oppdaget av sikkerhetsteamet til Yandex på et svært tidlig stadium. Det ble fullstendig nøytralisert før det rakk å utrette skade, sier talsmannen Ilja Grabovskij.
– Ingen data om Yandex-brukere kom på avveie, ifølge ham.
Yandex er kjent som Russlands svar på Google og opplyser å ha over 108 millioner månedlige brukere. Selskapet opererer også i Hviterussland, Kasakhstan og Tyrkia.
Eksistensen av Regin, og vestlige etterretningstjenesters bruk av skadeprogrammet, ble først avslørt av den amerikanske avhopperen Edward Snowden.
(©NTB)