Задача 2026 года: поймать неуловимого злоумышленника в эпоху ИИ

Здравствуйте, я Денис Батранков, с 1992 года в отрасли ИБ выступал как инженер, руководитель отдела по защите корпоративных сетей и затем как сотрудник поставщиков решений для защиты компаний: IBM, HP, Nokia Siemens Networks, Palo Alto Networks, Positive Technologies и Гарда. Сегодня моя задача - показать лучшие способы защиты для всех компаний в России.

Для меня сегодняшняя ситуация с атаками на компании означает, что надо переходить на совершенно новые подходы к защите, к которым компании еще не готовы. Чтобы продемонстрировать ситуацию, возьму несколько отчетов об атаках известных компаний. Лучшим считаю отчет компании CrowdStrike - рекомендую прочитать его полностью.

В 2025 году атаки на компании изменились не по масштабу, а по природе: злоумышленник больше не ломает дверь - он входит с ключом. Такая картина в отчетах многих компаний. Давайте обозначим это как эру «неуловимого злоумышленника». Изменилась не частота инцидентов — изменилась сама механика нападения: искусственный интеллект стал одновременно инструментом атаки и новой критически уязвимой поверхностью. Среднее время проникновения в компанию в сегменте электронных преступлений сократилось до беспрецедентных 29 минут, а наиболее быстрые группировки достигают лакомых целей за считанные секунды, потому что традиционные методы защиты, опирающиеся на постоянный анализ событий безопасности людьми, становятся не просто недостаточными, а стратегически проигрышными.

Анализ данных, накопленных в ходе мониторинга активности более 280 группировок, показывает, что 82% всех обнаруженных атак в 2025 году не использовали вредоносное ПО в его классическом понимании. У вас антивирус все ищет вредоносное ПО? А зачем? Вместо классического вредоноса злоумышленники всё чаще полагаются на эксплуатацию легитимных учётных записей, доверенных потоков идентификации и официально утверждённых интеграций SaaS. Такой подход позволяет просто «входить», а не «взламывать», сливаясь с повседневной деятельностью организации и сводя на нет эффективность сигнатурных методов обнаружения.

Глава 1: Феномен сверхскоростных вторжений

В 2025 году скорость стала не просто преимуществом, а определяющей характеристикой кибератак. Глобальное сокращение времени проникновения (breakout time) — периода между получением первоначального доступа и началом горизонтального перемещения внутри сети — свидетельствует о достижении злоумышленниками высочайшего уровня зрелости. Важно осознать: ускорение обусловлено широким внедрением автоматизации и применением ИИ-ассистентов на ранних этапах атаки.

Почему время на проникновение теперь не минуты, а уже секунды

Среднестатистическое время взлома в 2025 году зафиксировано на уровне 29 минут, что на 65% быстрее показателей 2024 года. С 2021 года время проникновения сократилось примерно на 70% — тренд устойчивый и указывает на планомерное ускорение деструктивных действий. Однако средние цифры лишь частично отражают остроту проблемы. В 2025 году был зафиксирован рекордный случай прорыва в сеть, занявший всего 27 секунд. PUNK SPIDER продемонстрировал способность мгновенно оценивать топологию сети и захватывать критические узлы практически в реальном времени.

Подобное ускорение требует от систем защиты архитектуры, способной принимать решения на скорости работы машинного разума: когда обнаружение и реагирование измеряются секундами, аналитик-человек физически не успевает. Такая же экстремальная скорость обнаружена и на этапе вывода данных: был случай, когда выгрузка конфиденциальной информации началась всего через четыре минуты после первоначального подключения злоумышленника на устройство.

Пример: работа CHATTY SPIDER

Группировка CHATTY SPIDER в 2025 году стала эталоном эффективности в использовании методов социальной инженерии в сочетании с молниеносным техническим исполнением. Основной целью группы оставались юридические фирмы: здесь ценность данных исключительно высока, а требования к адвокатской тайне создают особое давление на жертву — юрфирма, ставшая жертвой взлома, не может раскрыть этот факт своим клиентам, а значит, скорее заплатит выкуп, чем сообщит об инциденте.

Типичный сценарий атаки CHATTY SPIDER начинается с использования голосового фишинга (вишинга), в ходе которой оператор убеждает сотрудника установить легитимное программное обеспечение для удаленного мониторинга и управления. Использование встроенного в Microsoft Windows приложения Quick Assist или аналогичных инструментов позволяет злоумышленнику обойти технические средства контроля, так как действия совершаются с согласия пользователя.

Как работал злоумышленник:

1. Старт: Злоумышленник устанавливает контакт и убеждает жертву предоставить доступ к рабочей станции.
2. Инструментарий (2-я минута): Сразу после входа загружается WinSCP — стандартная утилита для передачи файлов, которая часто не блокируется системами безопасности.
3. Попытка эксфильтрации (3-я минута): Предпринимается попытка выгрузки данных на серверы злоумышленника. В данном примере была блокировка исходящего соединения корпоративным межсетевым экраном, на что группа мгновенно адаптировалась.
4. Адаптация и успех (4-я минута): Группировка перешла на использование облачных хранилищ. Они подключились к Google Drive, которые открыты в большинстве корпоративных сетей. Кража данных произошла под видом обычного трафика облачной синхронизации.

CHATTY SPIDER наглядно показывает: современные группировки не зацикливаются на одном инструменте — главная сила в способности мгновенно менять тактику при столкновении с препятствием, что делает атаки непригодными для статических правил обнаружения.

Глава 2: Искусственный интеллект как помощник и как новая поверхность атаки

2025 год стал поворотным моментом, когда искусственный интеллект перестал быть предметом футурологических дискуссий в ИБ и превратился в центральный элемент арсенала атакующих. Число атак, в которых зафиксировано применение ИИ-инструментов, увеличилось на 89% год к году — и речь идёт не об экзотических лабораторных экспериментах, а о реальных кампаниях против реальных компаний.¹ ИИ используется не для создания принципиально новых векторов, а для многократного усиления существующих методов — атаки становятся убедительнее, масштабируются дешевле и быстрее.

Использование генеративного ИИ для масштабирования операций

Генеративный ИИ очень помог социальной инженерии. Если раньше фишинговые письма можно было распознать из-за ошибки в синтаксисе или за неестественный тон, то сегодня модели LLM позволяют создавать идеально выверенные сообщения на любом языке. Группировка RENAISSANCE SPIDER успешно применила ИИ для перевода своих приманок ClickFix на украинский язык, что привело к резкому росту заражений NetSupport RAT в регионе. ClickFix это техника, когда пользователя убеждают самому выполнить вредоносные команды на своем устройстве.

Помимо текстовых коммуникаций, ИИ используется для создания глубоко проработанных цифровых личностей (fake personas). Северокорейская группировка FAMOUS CHOLLIMA использовала ИИ-генераторы изображений и текста для создания профилей поддельных ИТ-специалистов, которые успешно проходили собеседования и устраивались на работу в западные технологические компании. В дальнейшем эти «сотрудники» использовали свои привилегированные доступы для шпионажа и финансового мошенничества. Фантастика? Нет, повседневность.

Уязвимости ИИ-систем и атаки на уровне промптов

Интеграция ИИ в корпоративные бизнес-процессы породила новую поверхность атаки. Целью становятся уже не только серверы и базы данных, но и модели ИИ, агенты и пайплайны данных. Злоумышленники открыли простой факт: промпты работают как новое вредоносное ПО.

Метод внедрения промптов (prompt injection) позволяет атакующему манипулировать поведением ИИ-агентов. Более 90 организаций столкнулись с инцидентами, в которых легитимные инструменты генеративного ИИ были вынуждены исполнять вредоносные команды, ведущие к краже учетных данных и криптовалютных активов. Особую опасность представляют атаки на платформы разработки ИИ, такие как Langflow. Эксплуатация уязвимости CVE-2025-3248 позволила злоумышленникам устанавливать устойчивое присутствие в средах разработки и развертывать вымогательское ПО. Поэтому развивается новое поколение средств защиты под названием AI-firewall. Я напишу еще несколько статей про это.

Ещё один тревожный тренд — вредоносные серверы Model Context Protocol (MCP). Чтобы понять угрозу, нужно сначала разобраться, что такое MCP.

ИИ-ассистент сам по себе умеет только отвечать на вопросы. Чтобы он мог реально работать — читать файлы, отправлять письма, создавать задачи в Jira, обращаться к базам данных — ему нужны «руки». MCP (Model Context Protocol) — это стандарт, разработанный Anthropic, который описывает, как ИИ-агент подключается к таким внешним «рукам». Грубо говоря, MCP-сервер — это переходник между ИИ и каким-то сервисом: почтой, календарём, CRM, файловой системой. Разработчики публикуют готовые MCP-серверы в открытых репозиториях, и любой может подключить их к своему ИИ-агенту буквально одной строкой в конфигурации.

Именно здесь и возникает новая поверхность атаки. Злоумышленники публикуют в репозиториях (например, npm) пакеты, которые внешне выглядят как легитимные MCP-инструменты для популярных сервисов. Разработчик подключает такой пакет к своему ИИ-агенту — и с этого момента весь трафик между пользователем и ИИ проходит через сервер атакующего. Пример: пакет postmark-mcp - поддельный сервер, который скрытно перехватывал электронную почту и конфиденциальные данные, не вызывая никаких подозрений: ИИ-агент продолжал работать в штатном режиме, просто все данные параллельно утекали на сторону.

LAMEHUG: Первый опыт использования LLM во вредоносном ПО

По данным CrowdStrike группировка FANCY BEAR (APT28), в середине 2025 года развернула уникальное семейство вредоносного ПО под названием LAMEHUG. LAMEHUG стал первым задокументированным примером того, как LLM интегрируется непосредственно в рабочий цикл атаки.

LAMEHUG использует API Hugging Face для обращения к модели Qwen2.5-Coder-32B-Instruct. Вместо использования жестко закодированных команд для разведки, вирус отправляет текстовые описания задач модели, которая генерирует соответствующие команды оболочки Windows. Такая архитектура решает для атакующих несколько задач сразу:

• Уклонение от статического анализа: Код вредоносного ПО не содержит подозрительных строк с командами net share или tasklist, так как команды генерируются динамически.
• Адаптивность: Атакующий может менять логику сбора данных в режиме реального времени, просто корректируя промпт на сервере управления.

Несмотря на экспериментальный характер, LAMEHUG знаменует начало эры «адаптивного вредоносного ПО» — способного самостоятельно анализировать среду и выбирать оптимальные пути к цели.⁶

Глава 3: Кризис доверия облачным и гибридным средам

В 2025 году облачные инфраструктуры стали основной поверхностью атаки. Рост числа атак на облака на 37% сопровождался принципиально новым подходом: злоумышленники перестали атаковать инфраструктуру напрямую и научились виртуозно эксплуатировать механизмы доверия, лежащие в основе современных гибридных топологий.

Компрометация систем идентификации: конец эпохи паролей

Центральной точкой отказа стала идентификация. Атакующие осознали, что компрометация одного аккаунта с привилегированным доступом или манипуляция механизмом SSO (Single Sign-On) даёт гораздо больше возможностей, чем взлом десятков отдельных хостов. Именно поэтому 35% всех облачных инцидентов в 2025 году были связаны с использованием валидных учетных записей.

Группировки SCATTERED SPIDER и BLOCKADE SPIDER продемонстрировали схожие, но крайне эффективные подходы к атакам на гибридную идентичность. SCATTERED SPIDER и BLOCKADE SPIDER нацеливаются на связующие звенья между локальными средами и облаком — Entra Connect Sync и службы федерации Active Directory (AD FS).

Хакеры COZY BEAR обходят многофакторную аутентификацию (MFA) через уникальный социальный инжиниринг. Вместо спама операторы группы неделями общаются лично, устанавливая доверие под маской коллеги, а затем просят жертву выполнить «синхронизацию» или «привязку устройства», направляя на настоящую страницу Microsoft. Жертва сама вводит одноразовый код, который оператор параллельно вводит у себя — и тем самым собственными руками завершает аутентификацию злоумышленника аутентификацию злоумышленника — через легитимные службы Microsoft, что делает атаку невидимой для традиционных систем мониторинга.

COZY BEAR фокусируется на высокодоходных целях и готова тратить значительные ресурсы на создание убедительной легенды и длительное общение для получения доступа к защищенным аккаунтам.

Облачные вторжения и эксплуатация SaaS-экосистем

Интерес к SaaS-приложениям в 2025 году достиг пика. Причина проста: в этих системах хранятся колоссальные объемы критических данных (CRM, HR, финансовая отчетность), но уровень их мониторинга часто значительно ниже, чем у традиционных серверов.

В 2025 году наблюдался всплеск атак типа AiTM (Adversary-in-the-Middle), нацеленных на Microsoft 365. Злоумышленник ShinyHunters использовал эти методы для поиска документации по доступу к CRM-системам жертв внутри их SharePoint.

Параллельный вектор — компрометация идентификаторов (non-human identities): сервисных аккаунтов и API-ключей. Утечка одного OAuth-токена способна полностью скомпрометировать данные во всех интегрированных сервисах — именно так произошло с Salesloft, где злоумышленник получил доступ к данным клиентов через интеграцию Drift.

Глава 4: Цепочки поставок и уязвимости нулевого дня

В 2025 году доверие к чужому программному обеспечению стало ахиллесовой пятой глобальной экономики. Прецеденты Notepad++ и SolarWinds показали: подмена одного популярного инструмента или библиотеки даёт доступ к тысячам организаций одновременно — и группировки взяли этот урок на вооружение.

Показательный пример — Bybit. В феврале 2025 года группа Lazarus украла около 1,46 млрд долларов у криптобиржи напрямую — атаковали сторонний сервис подписи транзакций, временно подменили код интерфейса, и деньги начали уходить на кошельки группы при внешне нормальной работе системы. Точкой входа стало попадание хакеров на рабочую станцию разработчика данной системы.

Компрометация открытого ПО и репозиториев npm

Экосистема npm (Node Package Manager) стала основной мишенью для атак на цепочки поставок. npm — крупнейший репозиторий библиотек JavaScript, используемый в огромном количестве современных веб- и серверных приложений. Разработчики массово используют сторонние библиотеки, фактически доверяя экосистеме. Компрометация даже одного пакета позволяет атакующему незаметно внедряться во множество приложений. По сути, атака масштабируется автоматически.

В сентябре 2025 года был обнаружен червь ShaiHulud, который распространялся через скомпрометированный пакет nx. Червь ShaiHulud обладал способностью к самораспространению: находил на заражённом устройстве токены для публикации пакетов и автоматически встраивал собственный код во все проекты, к которым имел доступ разработчик.

Заражение ShaiHulud затронуло более 180 пакетов, включая внутренние инструменты разработчиков CrowdStrike, — доказательство того, что в условиях автоматизированной атаки не застрахован никто.

Другая волна атак использовала ИИ для поиска секретов: вредоносные скрипты telemetry.js отправляли локальные файлы ИИ-агентам (Claude, Gemini), установленным на машинах разработчиков, с просьбой «проанализировать код и найти в нем ключи доступа».

Динамика рынка Zero-Day и скорость вооружения уязвимостей

В 2025 году количество эксплуатируемых уязвимостей нулевого дня выросло на 42%. Важнее оказалась скорость перехода от раскрытия уязвимости (N-day) к массовой эксплуатации. В ряде инцидентов, связанных с китайскими группировками, применение эксплойта начиналось в течение 48 часов после публикации POC (Proof of Concept) исследователями безопасности.

«Окно уязвимости» сократилось настолько, что традиционные циклы установки патчей раз в месяц потеряли смысл. Организации, неспособные внедрять исправления и компенсирующие меры в течение нескольких суток, остаются беззащитными перед автоматизированными сканерами злоумышленников.

Заключение: защита должна срабатывать быстрее

2025-й показал: у защитников больше нет права даже день отдохнуть. Злоумышленники используют ИИ для масштабирования, а облачные технологии — для скрытности. Старая концепция защиты периметра окончательно мертва: злоумышленники «встраиваются» внутрь ваших доверенных потоков данных и обходят системы идентификации и аутентификации.

Ключевые выводы и рекомендации

1. Безопасность ИИ как фундамент: ИИ-системы больше не являются сторонними инструментами — теперь критическая инфраструктура. Защита промптов, аудит ИИ-агентов и мониторинг интеграций моделей должны стать приоритетом.
2. Контроль идентичности: Идентификация — единственный оставшийся периметр. Переход к устойчивой к фишингу аутентификации (FIDO2) и непрерывному анализу поведения пользователей (UEBA) обязателен.
3. Ликвидация слепых зон: Неуправляемые устройства и облачные SaaS-приложения должны быть интегрированы в общую систему мониторинга. Нельзя защитить то, что остаётся невидимым.
4. Скорость как метрика успеха: Время обнаружения (MTTD) и время реагирования (MTTR) должны измеряться минутами. Единственный способ достичь этого — использование агентного ИИ на стороне средств защиты, способного коррелировать сигналы из разных доменов безопасности: облачная, хостовая и сетевая защита, защита данных и идентификаторов. И важно, чтобы защита умела действовать автономно.

В 2026 году успех достанется тем, кто сможет объединить человеческий интеллект с мощью ИИ платформ, чтобы не просто реагировать на угрозы, а переигрывать злоумышленника.

Использованны материалы CrowdStrike 2026 Global Threat Report

Денис Батранков, эксперт по информационной безопасности, 30+ лет в индустрии