Специалисты Google Threat Intelligence Group заявили, что с «высокой уверенностью» идентифицировали хакера, который использовал искусственный интеллект для поиска и эксплуатации уязвимости в популярном инструменте системного администрирования. Атака позволила обойти двухфакторную аутентификацию (2FA) и получить доступ к корпоративным сетям без ведома жертв. Это первый задокументированный случай, когда злоумышленники применили ИИ-модель для создания полноценного эксплойта нулевого дня.
Как ИИ-модель сгенерировала код для атаки нулевого дня
По данным исследователей Google, атака была направлена на системный административный инструмент — его название не раскрывается, чтобы не подвергать риску пользователей. Злоумышленники использовали большую языковую модель (LLM) для анализа исходного кода и выявления бреши, которую затем превратили в рабочий эксплойт.
Сам факт применения ИИ на этапе разведки — не новость, но в данном случае модель не просто помогла написать фишинговое письмо, а сгенерировала код для эксплуатации ранее неизвестной уязвимости. Google отмечает, что атака была «целенаправленной и высокотехнологичной».
Кража сессионных cookie как способ обхода 2FA
После получения первоначального доступа через zero-day эксплойт, хакеры использовали технику session cookie theft — кражу файлов cookie сессии, которые позволяют обойти повторный запрос 2FA при каждом входе в систему. Даже включённая двухфакторная аутентификация не остановила атакующих.
Любая система, полагающаяся исключительно на 2FA как на последний рубеж защиты, может быть скомпрометирована, если злоумышленник получает доступ к сессионным данным.
Google Threat Intelligence Group не раскрывает точное количество жертв, но подчёркивает, что атака была направлена на корпоративных пользователей инструмента. Всем администраторам рекомендуется немедленно проверить логи на предмет несанкционированных сессий и обновить инструменты мониторинга.
Почему криптоинвесторы в зоне риска из-за ИИ-эксплойтов
Событие происходит на фоне стремительного распространения генеративных ИИ-моделей, доступных как для легитимных разработчиков, так и для злоумышленников. Ранее хакеры в основном использовали ИИ для социальной инженерии — создания правдоподобных фишинговых писем или голосовых подделок. Теперь же речь идёт о полном цикле: от поиска уязвимости до создания эксплойта.
Для криптоинвесторов угроза особенно актуальна: многие биржи и DeFi-протоколы требуют 2FA для вывода средств, но не всегда защищают сессионные данные. В случае взлома корпоративного кошелька или биржевого аккаунта злоумышленник может вывести активы без повторного подтверждения. Российские хакерские группы традиционно считаются одними из самых технически оснащённых, и подобные инструменты могут быстро распространиться в закрытых сообществах. Однако Google не указывает географическую принадлежность атакующих.
Пока неясно, будет ли опубликован патч для уязвимого инструмента и как быстро вендоры адаптируют защиту от ИИ-атак. Очевидно одно: традиционные методы безопасности, включая 2FA, больше не являются достаточным барьером. Как скоро появятся первые случаи кражи криптоактивов через подобные эксплойты?