Искусственный интеллект на службе киберпреступников

Киберпреступность выходит на новый уровень, атакуя сетевую инфраструктуру организаций с использованием методов и технологий искусственного интеллекта. Атакующие выбирают всё более масштабные важные цели, включая государственные информационные системы и объекты инфраструктуры. Распространение бесплатных и публично доступных ИИ-технологий, по мнению исследователей, «демократизирует киберпреступность» и порождает множество новых методов нападения.

В кино герой  часто инициирует пожарную тревогу, когда хочет получить доступ к защищённой информации из корпоративной системы и остаться незамеченным. Похожим образом действуют современные киберпреступники: задействуют набор хакерских инструментов одновременно. Такие гибридные атаки стали обычным явлением, отличаться могут цели: персональные данные пользователей, корпоративные документы, переписка акционеров, финансовая информация и даже исходный код, если речь идёт о программном продукте. 

Набор методов также может варьироваться в зависимости от того, какой бюджет есть в распоряжении отдельного киберпреступника или группировки. Это напрямую зависит от величины потенциального «вознаграждения», на которое рассчитывают атакующие. То есть киберпреступники уже давно мыслят и действуют, как бизнесмены в парадигме возврата инвестиций. Задача специалистов компаний, занимающихся кибербезопасностью, – сделать так, чтобы взлом стал слишком дорогостоящим делом, а потенциальная выгода – незначительной.

Помимо меркантильных намерений, огромное количество атак в последние пару лет совершается из идеологических или политических мотивов. Устраивают кибервойны представители противоположных политических взглядов, последователи определенных идеологий, участники военных конфликтов. К примеру, в прошлом году хакерская группировка Lazarus Group из Северной Кореи украла $600 млн из видео игры Axie Infinity, большую часть из которых удалось вернуть, но всё равно потери составили ощутимые $30 млн.

Тысяча и одна уязвимость

Корпоративные сети, построенные на современных технологиях, представляют собой гибрид из локальной инфраструктуры и облачной, которая часто включает публичные сервисы. Защищать такую разнородную систему от внешних и внутренних угроз довольно сложно, так как большинство решений предотвращения атак фокусируются на отдельных элементах и игнорируют остальные компоненты сети. 

В идеальной ситуации специальный департамент кибербезопасности занимается обеспечением защищенности всех участков этой структуры, в том числе за счёт интеграции решений в единую многоуровневую систему. Но зачастую в компаниях эта функция ложится на плечи специалистов, которые совмещают эту работу с другими обязанностями в ИТ-департаменте. В итоге возникают слабые места в корпоративной сети, которые киберпреступники «прощупывают» с помощью, например, DDoS-атак, перегружая сервера компании огромным потоком запросов, имитирующих пользовательские. На этом фоне может происходить параллельная хакерская атака на вебсайт, где установлена устаревшая версия программного обеспечения с «дырами», позволяющими получить доступ к локальной корпоративной сети и хранилищам данных. Сложность корпоративных сетей и систем – проблема не только частных компаний, но и целых государств, которая усугубляется также тем, что пользователи ‒ клерки и  не обучены основам кибербезопасности. 

Так, Национальный центр реакции на киберугрозы Словении обнаружил в прошлом году 950 уязвимостей в государственной инфраструктуре и системах. В их числе – слабые пароли и игнорирование двухфакторной идентификации.

Впрочем, многофакторная идентификация пользователя, на которую много лет полагались компании, уже не так эффективна. Всё чаще совершаются атаки на конечного пользователя (man ­in ­the ­endpoint). В этом случае на устройстве сотрудника работает незаметная вредоносная программа, которая дожидается момента, когда пользователь введёт код или использует другой дополнительный метод аутентификации, открыв доступ к корпоративной системе или банковскому аккаунту.

Другой тренд, связанный с практикой использования мультиоблачной инфраструктуры – атаки на сети сервис-провайдеров. Какие бы суммы компания ни тратила на киберзащиту, остаётся вероятность, что внешний поставщик облачных услуг окажется жертвой киберпреступников. К примеру, в декабре прошлого года инфраструктура сервиса обмена документами Rackspace Hosted Exchange подверглась нападению, в результате которого данные 27 клиентов оказались в руках киберпреступников. Компании пришлось полностью остановить работу Hosted Exchange и нанять внешнюю фирму для расследования инцидента и устранения его последствий.

Другой пример – похищение исходного кода компании Okta из популярного облачного хранилища GitHub. Эта компания – привлекательная мишень для киберпреступников. Okta предоставляет возможность замены множества паролей одним единственным. В GitHub не хранятся персональные данные пользователей, так что никаких утечек вроде бы не произошло, но последствия атаки могут оказаться драматическими, и наверняка мы о них ещё услышим.

Ошибка пациента

В связи с тем что индустрия здравоохранения активно цифровизируется практически во всех странах, всё чаще медицинские данные становятся мишенью кибератак. В прошлом году 9,7 миллионов пациентов Австралийской медицинской компании Medibank стали жертвами утечки чувствительной информации о состоянии их здоровья. Злоумышленник получил доступ к внутренней инфраструктуре организации и потребовал плату за неразглашение похищенных сведений. После того как Medibank публично отказался от переговоров с преступником, взломщик разместил в публичном доступе два списка: «послушные» и «непослушные» пациенты. Во втором оказались больные ВИЧ, люди с алкогольной и наркозависимостью, позже появился ещё и список пациенток, которые делали аборты. 

Буквально на днях, в марте этого года, виртуальные серверы Клинического госпиталя Барселоны подверглись нападению, в результате которого замедлилась работа трёх центров оказания срочной помощи, 800 пациентов пришлось регистрировать вручную, так как перестали работать приложения для медперсонала. 

История с госпиталем Барселоны – иллюстрация тренда этого года – усложнение атак и более высокий уровень технологической подготовки киберпреступников. Нападение осуществлялось в виртуализированной инфраструктуре с использованием нестандартных методов.

Я вам пишу…

Социальная инженерия и фишинг остаются популярными методами киберпреступников уже много лет и отлично работают в комбинации с вирусами-шифровальщиками. Но теперь их жертвами становятся целые государства. В прошлом году в списке пострадавших оказалась Черногория. Цифровые госуслуги страны пришлось отключить из-за того, что вредоносный код Cuba зашифровал файлы в компьютерной системе. Специалисты предполагают, что на государственных серверах он оказался после того, как кто-то из сотрудников кликнул по фишинговой ссылке в электронном письме. Злоумышленники вымогали $10 миллионов и опубликовали государственные документы в «тёмной сети» Darknet после отказа в выплате. Официальные представители Черногории сообщили, что кибератака поставила под угрозу целый ряд важных сервисов и систем, скомпрометировала работу таможни в аэропортах, сектор коммунальных услуг и телекоммуникаций.

Фишинг, как первый шаг в комплексных сценариях проникновения в сеть организации, будет использоваться и в будущем. Технологии искусственного интеллекта вышли на новый уровень с запуском ChatGPT, бесплатного инструмента для создания уникальных текстов. Согласно анализу Государственного технологического агентства Сингапура, фишинговые электронные письма, сгенерированные искусственным интеллектом, легче проходят спам-фильтры и ссылки из них открывают чаще. Кроме того, нейронные сети помогают проходить защиту типа CAPTCHA (проверка, человек или бот зашёл на сайт, основанная на визуальной оценке изображения) и подбирать пароли.

В целом специалисты сходятся во мнении, что ИИ открыл ящик Пандоры и сейчас ещё сложно предсказать, какие новые угрозы изобретут киберпреступники с использованием этих технологий. По мнению ряда исследователей, генеративные нейронные сети демократизируют киберпреступность, делая продвинутые методы более доступными. Основная рекомендация в данной ситуации: информировать сотрудников о новых типах угроз и обучать правильному поведению, а также готовиться к худшему, запасаясь средствами защиты заранее.