В 2025 году методы кибератак остаются практически такими же, как и десять лет назад, в 2015 году. Пока специалисты по безопасности попадают в «ловушку защитника», отвлекаясь на новые тренды вроде атак на базе ИИ, квантово-устойчивого шифрования и архитектур нулевого доверия (Zero-trust), реальность атакующих выглядит иначе. У хакеров отсутствует «синдром блестящего инструмента»: они не изобретают новые методы, а оптимизируют основы, используя те же точки входа, что и раньше, но с гораздо более высокой эффективностью.
Влияние искусственного интеллекта на киберпреступность проявилось не в смене тактики, а в ее автоматизации. Злоумышленники не изменили свои сценарии, они просто поручили их выполнение алгоритмам. Главным достижением нападающей стороны стала ресурсная эффективность: теперь для выполнения операций требуется лишь одна десятая часть ресурсов, которые были необходимы для аналогичных атак в прошлом.
Атаки на цепочки поставок остаются серьезной проблемой, вызывающей каскадные разрушения. Один скомпрометированный пакет способен заразить все дерево зависимостей, затрагивая тысячи последующих проектов. Кампания в репозитории NPM, получившая название «Shai Hulud», наглядно демонстрирует влияние ИИ на эту сферу: барьер для входа рухнул, позволяя операциям одного человека имитировать действия крупных организованных преступных группировок. Существуют обоснованные подозрения, что атака «Shai-Hulud» и другие инциденты в NPM действительно совершались одиночками.
Стратегия злоумышленников в цепочках поставок часто рассчитана на «долгую игру». Хакеры публикуют абсолютно легитимные пакеты, чтобы завоевать доверие сообщества, а вредоносные возможности внедряются позже «нажатием одной кнопки» для всех пользователей, загрузивших обновление. Историческим примером такой тактики служит известная атака на XZ Utils, показавшая уязвимость доверия в открытом коде.
Фишинг продолжает оставаться эффективным вектором, поскольку люди по-прежнему являются «слабым звеном». В качестве примера можно привести инцидент на платформе npm, когда разработчик перешел по вредоносной ссылке и ввел свои учетные данные. В результате пакеты с десятками миллионов еженедельных загрузок были отравлены. Критическим фактором провала стало то, что процесс минимизации последствий занял слишком много времени, даже после того, как сам разработчик публично сообщил об инциденте.
Официальные магазины приложений и расширения браузеров также остаются уязвимыми, так как вредоносное ПО успешно обходит автоматические проверки и модераторов-людей. Исследования, сфокусированные на расширениях для Chrome, выявили активность, направленную на кражу переписок из ChatGPT и DeepSeek. Проблема усугубляется текущей бинарной моделью разрешений в Chrome (разрешить/запретить), когда расширение запрашивает право «читать информацию со всех веб-сайтов». Риск заключается в том, что расширения с таким уровнем доступа почти всегда являются вредоносными сейчас или станут таковыми в будущем.
Решением проблемы с расширениями должно стать внедрение гранулярного контроля, аналогичного стандартам мобильных операционных систем Android и iOS. На этих платформах пользователи могут, например, блокировать микрофон или разрешать доступ к камере только при открытом приложении. Chrome необходимо внедрить эту уже существующую модель, чтобы устранить фундаментальные уязвимости в управлении правами доступа.
Стратегические рекомендации для защитников в текущих условиях сводятся к отказу от погони за трендами, пока основы безопасности не функционируют должным образом. Приоритетом должны стать исправление моделей разрешений (особенно в браузерах), усиление верификации цепочек поставок и внедрение устойчивой к фишингу аутентификации по умолчанию.
Для детального разбора ситуации организация OX проводит вебинар под названием «Обновление данных об угрозах: что работает у хакеров и что предпринимают «хорошие парни»?» (Threat Intelligence Update: What's Been Working for Hackers and What Have the Good Guys Been Doing?). В повестку мероприятия включены вопросы о техниках атак, набирающих популярность, анализ реально работающих методов защиты и стратегии приоритезации действий в условиях ограниченных ресурсов.
Изображение носит иллюстративный характер
Влияние искусственного интеллекта на киберпреступность проявилось не в смене тактики, а в ее автоматизации. Злоумышленники не изменили свои сценарии, они просто поручили их выполнение алгоритмам. Главным достижением нападающей стороны стала ресурсная эффективность: теперь для выполнения операций требуется лишь одна десятая часть ресурсов, которые были необходимы для аналогичных атак в прошлом.
Атаки на цепочки поставок остаются серьезной проблемой, вызывающей каскадные разрушения. Один скомпрометированный пакет способен заразить все дерево зависимостей, затрагивая тысячи последующих проектов. Кампания в репозитории NPM, получившая название «Shai Hulud», наглядно демонстрирует влияние ИИ на эту сферу: барьер для входа рухнул, позволяя операциям одного человека имитировать действия крупных организованных преступных группировок. Существуют обоснованные подозрения, что атака «Shai-Hulud» и другие инциденты в NPM действительно совершались одиночками.
Стратегия злоумышленников в цепочках поставок часто рассчитана на «долгую игру». Хакеры публикуют абсолютно легитимные пакеты, чтобы завоевать доверие сообщества, а вредоносные возможности внедряются позже «нажатием одной кнопки» для всех пользователей, загрузивших обновление. Историческим примером такой тактики служит известная атака на XZ Utils, показавшая уязвимость доверия в открытом коде.
Фишинг продолжает оставаться эффективным вектором, поскольку люди по-прежнему являются «слабым звеном». В качестве примера можно привести инцидент на платформе npm, когда разработчик перешел по вредоносной ссылке и ввел свои учетные данные. В результате пакеты с десятками миллионов еженедельных загрузок были отравлены. Критическим фактором провала стало то, что процесс минимизации последствий занял слишком много времени, даже после того, как сам разработчик публично сообщил об инциденте.
Официальные магазины приложений и расширения браузеров также остаются уязвимыми, так как вредоносное ПО успешно обходит автоматические проверки и модераторов-людей. Исследования, сфокусированные на расширениях для Chrome, выявили активность, направленную на кражу переписок из ChatGPT и DeepSeek. Проблема усугубляется текущей бинарной моделью разрешений в Chrome (разрешить/запретить), когда расширение запрашивает право «читать информацию со всех веб-сайтов». Риск заключается в том, что расширения с таким уровнем доступа почти всегда являются вредоносными сейчас или станут таковыми в будущем.
Решением проблемы с расширениями должно стать внедрение гранулярного контроля, аналогичного стандартам мобильных операционных систем Android и iOS. На этих платформах пользователи могут, например, блокировать микрофон или разрешать доступ к камере только при открытом приложении. Chrome необходимо внедрить эту уже существующую модель, чтобы устранить фундаментальные уязвимости в управлении правами доступа.
Стратегические рекомендации для защитников в текущих условиях сводятся к отказу от погони за трендами, пока основы безопасности не функционируют должным образом. Приоритетом должны стать исправление моделей разрешений (особенно в браузерах), усиление верификации цепочек поставок и внедрение устойчивой к фишингу аутентификации по умолчанию.
Для детального разбора ситуации организация OX проводит вебинар под названием «Обновление данных об угрозах: что работает у хакеров и что предпринимают «хорошие парни»?» (Threat Intelligence Update: What's Been Working for Hackers and What Have the Good Guys Been Doing?). В повестку мероприятия включены вопросы о техниках атак, набирающих популярность, анализ реально работающих методов защиты и стратегии приоритезации действий в условиях ограниченных ресурсов.
