ИБ-компания Darktrace, которая применяет для выявления и реагирования на киберугрозы самообучающийся ИИ, выпустила отчет с описанием текущей ситуации на ИБ-рынке. В нем говорится, что в случае, если хакерам удастся «приручить» ИИ, то они получат совершенный инструмент для проведения кибератак. В целом эксперты оценивают ситуацию на ИБ-рынке как непростую — пользователи и корпоративные организации страдают от проведения массовых атак начиная с применения относительно простых зловредных скриптов, более сложных целевых атак и крайне сложных атак, которые осуществляются силами специальных государственных киберподразделений и профессиональных хакерских группировок.
Ситуация усугубляется тем обстоятельством, что заложенных в ИИ возможностей достаточно для того, чтобы в будущем нарастить губительный потенциал кибератак. Компания задокументировала три случая проактивных угроз, которые были обнаружены в течение последних 12 месяцев и смоделировала сценарии нападений на сети с применением ИИ. Директор подразделения проактивного поиска и обнаружения угроз Darktrace Макс Хайнемайер ожидает, что вредоносное ПО с внедренным в него ИИ научится имитировать поведение людей при помощи контекстуализации, то есть менять поведение, руководствуясь текущей ситуацией. Одновременно с этим стоит ожидать, что в руки профессиональных хакеров попадут ИИ-импланты, которые усложнят их обнаружение и усилят атакующий эффект, отметил он.
Тоянская программа Trickbot
Первая атака, которую проанализировали эксперты, связана со случаем нападения на юридическую фирму, которая стала жертвой фишинговой кампании, приведшей к ее заражению Trickbot. Это троянец, который эксплуатирует уязвимость Windows EternalBlue и нацелен на банки и другие финансовые учреждения. Вредоносную программу продолжают усовершенствовать, оснастив ее модулями для «инъекции» зловредных компонентов, обработки данных, механизмами блокировки и обфускации (средства запутывания кода). Одна из модификаций Trickbot сумела заразить 20 сетевых устройств, и для ее деактивации и устранения следов ее деятельности потребовалось провести сложные процедуры очистки. Эксперты обнаружили в программе модули Empire Powershell, которые применяются для проникновения на компьютер жертвы после заражения.
Как ИИ изменит троянские программы
Darktrace считает, что со временем «обогащенное» ИИ вредоносное ПО научится самостоятельно распространяться, выискивая любые возможные уязвимости для компрометации сети. «Представьте себе атаку червя типа WannaCry, который бы вместо выбора одной формы бокового смещения (например, эксплойта EternalBlue), самостоятельно определял целевую среду и соответственно выбирал методы проникновения», — призывает компания. Например, ИИ-программа может «понять», что ее нацелили на уже исправленные уязвимости и провести атаку методом подбора еще неисправленных, которая задействует кейлогинг и другие методы, доказавшие свою эффективность при проведении целевых атак. Особую опасность ИИ-зловредам придает тот факт, что они могут сидеть в засаде, учиться, подбирать техники атаки, но делать все это без участия серверов команд и управления (С2).
Программы-двойники
В качестве другого примера специалисты Darktrace описывают механизм заражения программой-двойником (doppelgänger). Она была обнаружена в устройстве одной из компаний, которая предлагает коммунальные услуги. По их словам, этот вредоносный софт заметал следы при помощи разнообразных тактик, в т. ч. обфускации, и был загружен в сеть компании из Amazon S3. Установка была произведена при помощи фальшивого SSL-сертификата, а трафик проходил через порты 443 и 80, поэтому стандартные элементы управления безопасностью его не выявили. Как показала дальнейшая разведка на основе открытых источников (OSINT), целевой бэкдор применил альтернативные методы маскировки, снижающие вероятность обнаружения в чужеродной среде.
Doppelgängers и ИИ
Аналитики Darktrace не исключают, что ИИ будет содействовать дальнейшей адаптации программ-двойников в различных окружениях. К примеру, если троянские программы будут обходить антивирусы, имитируя поведение клиентских программ, то внедренный в doppelgänger ИИ сможет скрывать свое присутствие за счет имитации доверенных элементов системы. В результате ИИ не будет угадывать, когда проходят бизнес-операции — он будет знать это наверняка. Он сможет понять, какая коммуникация в сети пользователя является доминирующей — Windows или Linux-машины, какие каналы связи он задействует — Twitter или Instagram — и смешаться с этим окружением.
Маломощные и медленные атаки
ИИ может обеспечить канал не только для крайне быстрых, но и маломощных и медленных («low and slow») атак. Третий пример заражения связан с компанией, которая занимается медицинскими технологиями. Особенность ситуации заключается в том, что ее данные уводились хакерами на продолжении длительного времени и столь крошечными пакетами, что они не превышали пороговых значений объема данных, допустимых инструментами безопасности. Анализ вторжения показал, что множественные подключения к сети компании осуществлялись с внешнего IP-адреса, при этом передаваемый пакет данных на каждый канал не превышал 1 Мб. Таким образом, хакерам за относительно короткое время удалось похитить 15 Гб информации. Злоумышленники сумели украсть имена пациентов, адреса и истории болезни.
ИИ сможет выступать в качестве инструмента, анализирующего скорость передачи данных и прогнозировать, как на эту активность будут реагировать решения безопасности. ИИ также сможет избавить хакеров от практики жесткого кодирования (встраивания данных непосредственно в исходный код программы или другого исполняемого объекта), высчитывая взамен безопасный для кражи объем данных, время вторжения и способы обхода антивирусов.
Кибератаки с задействованием ИИ вполне реалистичны. «С одной стороны мы видим, что характеристики существующих вредоносных программ постоянно совершенствуются, с другой — что специализированный ИИ учится понимать контекст на лету. Комбинация этих факторов означает для индустрии кибербезопасности сдвиг парадигмы. Устаревшие инструменты уже не могут защитить компании перед лицом таких серьезных угроз, как черви-вымогатели. Единственное, что может противостоять ИИ-киберугрозам — сдерживающий, оборонительный ИИ. Как только джинн выйдет из бутылки, его уже не вернуть обратно», — считает Хайнемайер.