Один клик — тысячи атак. ИИ теперь работает за хакера от начала до конца

1852
Один клик — тысячи атак. ИИ теперь работает за хакера от начала до конца

Три дня — и от новой уязвимости до рабочей атаки.

image

Искусственный интеллект уже не просто подсказывает хакерам отдельные команды, а помогает провести почти всю атаку, от поиска слабого места до перемещения по сети и кражи информации. Специалисты Check Point изучили кибератаки за последний год и обнаружили, что злоумышленники применяли ИИ на каждом этапе операций. Модели искали уязвимости, создавали и проверяли команды, помогали закрепиться в системе и запускали тысячи действий с минимальным участием человека.

Полностью самостоятельными такие атаки пока не стали. Однако ИИ превратился из вспомогательного инструмента в полноценного участника взлома, который берёт на себя значительную часть повседневной работы. Во многих случаях роль нейросети удалось установить из-за ошибок самих преступников или благодаря наблюдению со стороны разработчиков моделей, а не защитным средствам жертв.

Злоумышленники используют открытые модели, специальные вредоносные сервисы из даркнета и популярные коммерческие нейросети. Последние остаются основным выбором благодаря качеству ответов и способности создавать программный код.

В Check Point привели в пример группировку Gentlemen, которая сравнивала коммерческие модели по строгости ограничений и применяла ИИ для разработки внутренних инструментов. Платформу управления операциями участники группировки создали всего за три дня.

Другой пример связан с VoidLink, сложным набором средств для удалённого управления заражёнными компьютерами. Сначала специалисты предполагали, что над проектом несколько месяцев работала целая команда. Позднее выяснилось, что один разработчик с помощью коммерческого ИИ-инструмента написал около 88 тыс. строк работоспособного кода менее чем за неделю.

Хакеры чаще начинают с американских моделей, включая ChatGPT и Claude, поскольку считают их ответы более качественными. Строгие ограничения мешают применять такие системы во вредоносных целях. После неудачных попыток обойти защиту преступники переходят на китайские DeepSeek, Qwen и Trae, где запреты могут быть менее жёсткими. Особенно активно китайские платформы используют группировки, распространяющие программы-вымогатели.

Рост возможностей ИИ также ускоряет эксплуатацию новых уязвимостей. По оценке Check Point, рабочий способ атаки теперь может появиться через несколько часов после публикации сведений об ошибке. Агентство США по кибербезопасности и защите инфраструктуры недавно пересмотрело рекомендуемые сроки устранения уязвимостей. Для самых опасных проблем ведомство отвело три дня, для менее критичных – до 60 дней.

Авторы отчёта считают главным изменением не появление новых способов взлома, а резкий рост скорости. ИИ позволяет одновременно атаковать десятки целей, создавать массовые фишинговые рассылки и выполнять техническую работу между редкими командами оператора. Защитным командам, которые действуют с обычной человеческой скоростью, всё сложнее успевать за таким темпом.