Эксперты раскрыли новый способ применения языковых моделей для кибератак на компании
Хакерская группировка Silent Werewolf (другое название XDSpy), уже около 14 лет атакующая организации в СНГ, начала использовать большую языковую модель (Large Language Model, LLM) не только для разработки ПО, но и для обхода системы защиты организаций, узнал Forbes. С начала этого года эксперты зафиксировали десятки случаев использования LLM в попытках атаковать энергетические и индустриальные организации. Впрочем, отдельные аналитики не согласны с такой интерпретацией, отмечая, что файл-заглушка в виде LLM по невыясненному пока принципу предлагался не жертвам хакеров, а только специалистам по кибербезопасности, пытавшимся исследовать действия злоумышленников.
Организации, ставшие жертвами атак Silent Werewolf, устанавливали разработанную этими злоумышленниками программу-загрузчик, которую они получали в фишинговых письмах. Далее, по словам Скулкина, если загрузчик запускался в «песочнице», то «вместо вредоносной программы он устанавливал легитимный файл — языковую модель Llama» (разработана компанией Meta, которая признана в России экстремистской организацией и запрещена). «Песочница» распознавала файл c Llama как не представляющий угрозы и «пропускала его», продолжает эксперт. Таким образом, по данным Bi.Zone, загрузчик обходил защиту, после чего «получал с сервера злоумышленников основную вредоносную нагрузку». В этом качестве, вероятнее всего, злоумышленники использовали стилер XDigo собственной разработки, основная функция которого — «похищение чувствительных данных»
То, что использование хакерами ИИ в этом году будет оказывать все большее влияние на ИБ-ландшафт, специалисты прогнозировали и ранее. Это будет выражаться в увеличении числа длительных и комплексных атак, когда киберпреступники непрерывно перебирают все возможные векторы и инструменты для взлома компании, после отражения атаки одного типа сразу же происходит попытка следующей — через другие точки входа, другие потенциальные бреши в защите.
О том, что киберпреступники применяют LLM для обхода систем защиты, знает и директор департамента расследований T.Hunter Игорь Бедеров. «Пока такие атаки редки, но их число растет», — констатирует он. Для противодействия, по словам эксперта, необходимы комбинированные меры: технические улучшения «песочниц», регулярный аудит LLM и повышение осведомленности сотрудников.
Ранее также стало известно, что мошенники нашли новые уязвимости в Telegram.
Читать статью в полной версии «Forbes»
