Для первой атаки программ-вымогателей с использованием ИИ всё ещё требовался человек.
На прошлой неделе исследователи из компании Sysdig, занимающейся облачной безопасностью, заявили, что задокументировали первый известный случай «агентного вымогателя». Это была операция по вымогательству, получившая название JadePuffer, в которой ИИ-агент — а не человек — осуществлял техническое выполнение реальной кибератаки от начала до конца. Агент взломал уязвимый сервер, украл учетные данные, перемещался по сети цели, шифровал файлы и даже написал собственное требование выкупа, адаптируясь к препятствиям на своем пути, как это сделал бы человек-хакер. В сообщениях о финансировании говорилось, что операция проводилась «без какого-либо человеческого контроля», «без человека за клавиатурой».
Это не совсем полная картина. В интервью CyberScoop в понедельник Майкл Кларк, старший директор по исследованию угроз в Sysdig, уточнил, что человек по-прежнему принимал активное участие — просто не в техническом исполнении. «Человек по-прежнему организовывал и направлял операцию, предоставлял инфраструктуру для ее проведения, сервер управления и контроля, сервер подготовки данных, используемых для кражи, и выбирал жертву», — сказал Кларк. Он добавил, что учетные данные, использованные для взлома базы данных жертвы, не были получены самим ИИ-агентом; кто-то получил их отдельно, в результате предыдущего взлома, и передал операции.
Ничто из этого не противоречит первоначальному заявлению Sysdig, и технические детали атаки сами по себе примечательны — даже невероятны. Агент проник через известную ошибку в Langflow, популярном инструменте с открытым исходным кодом для создания приложений LLM, затем перешёл на производственный сервер MySQL и использовал другую известную уязвимость для получения административного доступа. Он зашифровал более 1300 записей конфигурации и не только оставил написанное им самим сообщение с требованием выкупа, но и указал биткойн-адрес, куда можно было отправить выкуп. Sysdig не раскрыл, кто стал целью атаки.
Используемые методы, по-видимому, были довольно обычными, но выделялись скорость и прозрачность процесса. Агент исправил неудачную попытку входа в систему за 31 секунду, попутно объясняя свои рассуждения в комментариях к коду на естественном языке.
Одна деталь, которая поначалу казалась запутанной, впоследствии была уточнена. Кларк сообщил CyberScoop, что Sysdig обнаружил, что «в атаке использовалось несколько моделей», сославшись на полученные ключи для OpenAI, Anthropic, DeepSeek и Gemini — формулировка, оставляющая открытым вопрос о том, действительно ли несколько моделей активно использовались на разных этапах вторжения. На просьбу уточнить, Кларк заявил TechCrunch, что эти ключи были лишь частью того, что украл агент, а не доказательством того, что им управляло.
«Агент проверил хост Langflow на наличие всего ценного — ключей API провайдера, учетных данных облака, криптовалютных кошельков и конфигураций баз данных — и эти ключи провайдера были частью украденного», — сказал он по электронной почте. «Они указывают на то, что злоумышленник посчитал ценным, но не говорят нам, какая модель принимала решения».
По словам Кларка, компания Sysdig, фактически использующая JadePuffer, «не смогла определить конкретную модель, на которой работает агент», и не имеет доступа к системной подсказке или конфигурации.
Теорию исследователя Microsoft Джеффа Макдональда, высказанную несколько дней назад в LinkedIn, стоит пересмотреть в этом свете. Макдональд подозревал, что за атакой стояла не передовая модель, а модель открытого тестирования, в которой отсутствовало обучение технике безопасности, основываясь на собственном опыте работы в группах быстрого реагирования, показавших, что уровни безопасности в передовых лабораториях хорошо работают. Собственный отчет Sysdig не подтверждает и не опровергает эту версию.
В сообщении McDonald's также предупреждалось, что кампании по распространению программ-вымогателей теперь ограничены в первую очередь бюджетом злоумышленников, а не трудозатратами людей, что повышает вероятность «тысяч или десятков тысяч одновременных кампаний». Это опасение несколько сложнее согласовать с тем, что описал Кларк в понедельник. (Если человеку по-прежнему приходится выбирать каждую жертву, обеспечивать инфраструктуру и получать учетные данные базы данных для каждой операции, это, по крайней мере, создает определенное узкое место.)
В любом случае, как сообщил Кларк изданию CyberScoop, хотя Sysdig пока не сталкивался с подобными операциями против других жертв, учитывая низкую стоимость содержания агента, он ожидает, что ситуация изменится.
Источник: techcrunch.com
Похожие записи
Оцените материал:
Присоединяйтесь и подпишитесь на рассылку самых свежих новостей по Email
Получайте свежие новости и идеи на почту. Без спама — только самое интересное.
Нажимая «Подписаться», вы соглашаетесь с политикой конфиденциальности.
