Там, где появляются новые технологии, неизбежно оказываются и те, кто готов использовать их во вред. Уже сегодня хакеры вооружаются искусственным интеллектом — он помогает им создавать фишинговые страницы, придумывать вредоносный код и даже автоматизировать сложные атаки. Действительно ли это переворачивает мир киберугроз, разбирается руководитель BI.Zone Threat Intelligence Олег Скулкин

Искусственный интеллект — для всех

Сегодня об искусственном интеллекте слышно отовсюду: его используют для генерации и редактуры текстов (возможно, и этого тоже), написания фрагментов программного кода, а еще для изобретения рецептов блюд и новых вкусов ваших любимых чипсов.

Конечно, ИИ используют и киберпреступники. Никого сегодня не удивишь дипфейками. Например, мошенники используют их, чтобы подделать голос и выдать себя за CEO крупной компании или смонтировать видео якобы со знаменитостями, чтобы убедить жертву в надежности предлагаемых инвестиционных проектов. А еще ИИ помогает злоумышленникам создавать максимально правдоподобные фишинговые страницы, которые еще вчера можно было легко выявить по опечаткам и неточностям.

Темная сторона нейросетей

Разумеется, в легальных и ответственно разработанных нейросетях борются с их неправомерным использованием. Поэтому появляются специализированные модели для киберпреступников, например WormGPT или FraudGPT. У таких нейросетей есть особенности:

Нет этических ограничений. Злоумышленник может получить ответ на любой вопрос, в том числе касающийся фишинга или разработки вредоносных программ. Специализированное обучение. Темные модели обучаются на методах проведения кибератак, вредоносном коде, инструментах и т.п.

Небольшая цена. Подписка на подобные сервисы в среднем стоит всего $100 в месяц. Для обычного пользователя цена может показаться высокой, но для киберпреступников это дешево в сравнении с потенциальной прибылью и ценами на другие нелегальные инструменты.

Сложные атаки с помощью ИИ

Злоумышленники используют нейросети не только для создания дипфейков, но и для реализации более сложных кибератак. Например, недавно исследователи компании ESET обнаружили программу-вымогатель PromptLock, которая использует ИИ для генерации вредоносных скриптов.

Другой пример — вредоносное ПО LameHug, которое работает почти как хакер с ИИ-помощником. Программа описывает задачу нейросети (например, «создай список команд, чтобы собрать информацию о системе»), получает готовые команды и тут же выполняет их. Такой подход делает атаку гибкой и быстрой, ведь инструкции генерируются в реальном времени.

Как Claude Code помогала киберпреступникам

Некоторые злоумышленники заходят еще дальше. Группировка GTG-2002 использовала нейросеть Claude Code не просто чтобы писать отдельные команды, а чтобы организовать полноценный процесс разработки. Такой подход называют вайб-кодингом — это стиль работы, когда программист описывает задачу простыми словами или даже намеками, без строгих технических инструкций, а ИИ сам дополняет пробелы и выдает готовый код. Для злоумышленников это удобно: с помощью ИИ они быстро генерируют и дорабатывают вредоносные инструменты прямо в ходе атаки.

Claude Code позволила злоумышленникам автоматизировать сбор информации о целях, получение аутентификационных данных и последующую компрометацию IT инфраструктуры. Благодаря этому они похищали много конфиденциальных данных у разных организаций и требовали выкуп, который мог достигать $500 000.

Вот как нейросеть работала на разных этапах атаки:

Разведка. На первом этапе ИИ сканировал большие диапазоны IP-адресов, искал среди них уязвимые и подсказывал, где вероятность успеха выше. Более того, нейросеть помогала разбить потенциальных жертв по отраслям и используемым технологиям.

Проникновение. После того как у атакующих оказывался доступ к сети, Claude Code подсказывала, какие системы самые критичные, и помогала получить учетные записи для проникновения. Это давало злоумышленникам возможность продвигаться дальше по скомпрометированной инфраструктуре. Маскировка вредоносного ПО (обфускация). Нейросеть помогала скрывать известные инструменты, чтобы их не заметили антивирусы, и даже создавать новые программы. При этом злоумышленникам не требовались особые навыки разработки. Анализ данных. Claude Code не только выгружала конфиденциальные данные, но и анализировала и систематизировала их. Такая автоматизация позволяла злоумышленникам одновременно работать сразу с несколькими целями.

Вывод: новый инструмент, а не революция

Может показаться, что с развитием ИИ количество атак резко увеличится. На самом деле нейросети лишь упрощают реализацию уже известных методов. Злоумышленники уже давно пользуются разными инструментами автоматизации, которых очень много в открытых источниках. При этом ИИ редко предлагает что-то принципиально новое: методы, которые с его помощью применяют злоумышленники, хорошо известны специалистам, а продвинутые средства защиты без труда их обнаружат. Главное — вовремя и корректно отреагировать на оповещения.

Так что хоть нейросети и делают кибератаки проще, это скорее очередной инструмент в арсенале злоумышленников, а не революция в их подходах.

Олег Скулкин