В 1960-х годах венгерский художник Элмир де Хори стал, пожалуй, самым успешным фальсификатором в истории искусства. Он подделывал Пикассо, Матисса, Ренуара — и делал это настолько убедительно, что более 1000 его работ прошли мимо экспертов, не вызвав подозрений. Де Хори не просто копировал чужой стиль. Он выстроил целую инфраструктуру обмана: использовал старые холсты и пигменты соответствующих эпох, продавал картины через сеть арт-дилеров по всему миру, постоянно менял псевдонимы и переезжал из города в город, чтобы не попасться. Суть его метода — мимикрия. Подделка, которая выглядит настолько «своей», что никто не задаёт лишних вопросов.
Сегодня ровно тем же занимаются кибератакующие. Только вместо холстов и пигментов у них — легитимные сетевые инструменты, украденные учётные данные и искусственный интеллект. Согласно отчёту CrowdStrike Global Threat Report за 2026 год, 81% современных атак вообще не используют вредоносное ПО в привычном смысле. Атакующие действуют через доверенные утилиты и стандартные процессы операционных систем — так называемая тактика Living-off-the-Land (LotL). Они буквально растворяются в обычном сетевом трафике, и отличить их от легитимных пользователей становится всё сложнее.
Отдельную тревогу вызывает появление агентного ИИ на стороне атакующих. Автономные и полуавтономные ИИ-агенты генерируют поддельные идентичности, пишут эксплойт-код для кражи секретов, создают скрипты для заражения конечных точек. Они умеют маскировать командный трафик (C2) под обычные пиковые нагрузки сети — короткие всплески, которые внешне неотличимы от нормальной активности. Такой агент может оркестрировать сразу несколько инструментов, автоматизируя атаку так, что человеческий аналитик просто не успевает за происходящим.
Цепочки поставок программного обеспечения превратились в ещё одно поле для подмен. Исследователи Microsoft обнаружили червя под названием Shai Hulud v2 — атакующие модифицировали сотни программных пакетов, чтобы собирать учётные данные разработчиков и API-секреты. Заражение распространялось через доверенные внутренние сетевые ресурсы, то есть через те самые каналы, которым сотрудники привыкли доверять безоговорочно. Это напоминает историю с SolarWinds, только масштабнее и хитрее. В облачной среде ситуация не лучше: фальшивые страницы авторизации и поддельные облачные репозитории, сгенерированные с помощью ИИ, появляются быстрее, чем их успевают блокировать.
Скрытые тоннели — ещё один приём из арсенала цифровых фальсификаторов. Вредоносный трафик прячут внутри разрешённых протоколов или зашифрованных каналов. Технически это выглядит как IP-тоннели, намеренно несовпадающие запросы и ответы (скажем, запрос конфиденциальных веб-данных с неизвестного адреса), а иногда — просто тихое присутствие внутри корпоративной сети на протяжении недель. Доходит до того, что в мобильных магазинах приложений обнаруживают фейковые программы, например инструмент визуального поиска, внутри которого спрятан эксплойт для удалённого выполнения кода.
Атакующие всё активнее создают мошенническую инфраструктуру — серверы и домены, имитирующие легитимные ресурсы. Microsoft зафиксировала случаи, когда злоумышленники рассылали поддельные приглашения на встречи в Teams, перенаправляя пользователей на сайты для сбора учётных данных. Собранная информация потом использовалась для запуска программ-вымогателей. Параллельно фишинг дошёл до уровня, когда домен может отличаться от оригинала всего одним символом — так называемые гомоглифные или гомографные атаки, где подставные символы визуально неотличимы от настоящих.
Если подделки де Хори в итоге раскрыли эксперты, изучавшие стилистические отпечатки и поведенческие паттерны художника, то в кибербезопасности аналогичную роль берут на себя системы Network Detection and Response (NDR). NDR работает по похожему принципу: ищет отклонения от базовых линий поведения. Необычное время входа в систему, нетипичный объём передаваемых данных, неожиданное латеральное перемещение по сети — всё это сигналы, которые система фиксирует и анализирует.
Помимо поведенческого анализа, NDR выявляет несоответствия в протоколах и метаданных. Странные комбинации протоколов, трафик к недавно зарегистрированным доменам или доменам-гомографам, зашифрованные сессии с подозрительными сертификатами — каждая такая деталь может указывать на подделку. Сырой трафик обогащается контекстом: откуда пришло соединение, как оно развивалось во времени. Это позволяет аналитикам центров безопасности (SOC) отделить настоящие угрозы от фонового шума.
Компания Corelight предлагает одну из таких платформ — Open NDR Platform, доступную на . Платформа использует многоуровневый подход к детектированию, комбинируя поведенческий анализ и обнаружение аномалий, чтобы ловить в том числе новые ИИ-управляемые угрозы. Идея в том, что если атакующие используют ИИ для мимикрии, то и защитники должны использовать аналитику, которая видит глубже поверхностного слоя.
Эпоха, когда антивирус на конечной точке мог решить большинство проблем, закончилась. Когда 81% атак не содержит классического вредоносного ПО, защита должна перестроиться. Нужно расширять её на цепочки поставок софта, федеративные системы идентификации и облачные среды. Элмир де Хори обманывал экспертов десятилетиями потому, что те искали очевидные признаки подделки. Современные атакующие действуют по тому же принципу — и ловить их нужно не по грубым следам, а по едва заметным «мазкам», выдающим чужую руку.
Изображение носит иллюстративный характер
Сегодня ровно тем же занимаются кибератакующие. Только вместо холстов и пигментов у них — легитимные сетевые инструменты, украденные учётные данные и искусственный интеллект. Согласно отчёту CrowdStrike Global Threat Report за 2026 год, 81% современных атак вообще не используют вредоносное ПО в привычном смысле. Атакующие действуют через доверенные утилиты и стандартные процессы операционных систем — так называемая тактика Living-off-the-Land (LotL). Они буквально растворяются в обычном сетевом трафике, и отличить их от легитимных пользователей становится всё сложнее.
Отдельную тревогу вызывает появление агентного ИИ на стороне атакующих. Автономные и полуавтономные ИИ-агенты генерируют поддельные идентичности, пишут эксплойт-код для кражи секретов, создают скрипты для заражения конечных точек. Они умеют маскировать командный трафик (C2) под обычные пиковые нагрузки сети — короткие всплески, которые внешне неотличимы от нормальной активности. Такой агент может оркестрировать сразу несколько инструментов, автоматизируя атаку так, что человеческий аналитик просто не успевает за происходящим.
Цепочки поставок программного обеспечения превратились в ещё одно поле для подмен. Исследователи Microsoft обнаружили червя под названием Shai Hulud v2 — атакующие модифицировали сотни программных пакетов, чтобы собирать учётные данные разработчиков и API-секреты. Заражение распространялось через доверенные внутренние сетевые ресурсы, то есть через те самые каналы, которым сотрудники привыкли доверять безоговорочно. Это напоминает историю с SolarWinds, только масштабнее и хитрее. В облачной среде ситуация не лучше: фальшивые страницы авторизации и поддельные облачные репозитории, сгенерированные с помощью ИИ, появляются быстрее, чем их успевают блокировать.
Скрытые тоннели — ещё один приём из арсенала цифровых фальсификаторов. Вредоносный трафик прячут внутри разрешённых протоколов или зашифрованных каналов. Технически это выглядит как IP-тоннели, намеренно несовпадающие запросы и ответы (скажем, запрос конфиденциальных веб-данных с неизвестного адреса), а иногда — просто тихое присутствие внутри корпоративной сети на протяжении недель. Доходит до того, что в мобильных магазинах приложений обнаруживают фейковые программы, например инструмент визуального поиска, внутри которого спрятан эксплойт для удалённого выполнения кода.
Атакующие всё активнее создают мошенническую инфраструктуру — серверы и домены, имитирующие легитимные ресурсы. Microsoft зафиксировала случаи, когда злоумышленники рассылали поддельные приглашения на встречи в Teams, перенаправляя пользователей на сайты для сбора учётных данных. Собранная информация потом использовалась для запуска программ-вымогателей. Параллельно фишинг дошёл до уровня, когда домен может отличаться от оригинала всего одним символом — так называемые гомоглифные или гомографные атаки, где подставные символы визуально неотличимы от настоящих.
Если подделки де Хори в итоге раскрыли эксперты, изучавшие стилистические отпечатки и поведенческие паттерны художника, то в кибербезопасности аналогичную роль берут на себя системы Network Detection and Response (NDR). NDR работает по похожему принципу: ищет отклонения от базовых линий поведения. Необычное время входа в систему, нетипичный объём передаваемых данных, неожиданное латеральное перемещение по сети — всё это сигналы, которые система фиксирует и анализирует.
Помимо поведенческого анализа, NDR выявляет несоответствия в протоколах и метаданных. Странные комбинации протоколов, трафик к недавно зарегистрированным доменам или доменам-гомографам, зашифрованные сессии с подозрительными сертификатами — каждая такая деталь может указывать на подделку. Сырой трафик обогащается контекстом: откуда пришло соединение, как оно развивалось во времени. Это позволяет аналитикам центров безопасности (SOC) отделить настоящие угрозы от фонового шума.
Компания Corelight предлагает одну из таких платформ — Open NDR Platform, доступную на . Платформа использует многоуровневый подход к детектированию, комбинируя поведенческий анализ и обнаружение аномалий, чтобы ловить в том числе новые ИИ-управляемые угрозы. Идея в том, что если атакующие используют ИИ для мимикрии, то и защитники должны использовать аналитику, которая видит глубже поверхностного слоя.
Эпоха, когда антивирус на конечной точке мог решить большинство проблем, закончилась. Когда 81% атак не содержит классического вредоносного ПО, защита должна перестроиться. Нужно расширять её на цепочки поставок софта, федеративные системы идентификации и облачные среды. Элмир де Хори обманывал экспертов десятилетиями потому, что те искали очевидные признаки подделки. Современные атакующие действуют по тому же принципу — и ловить их нужно не по грубым следам, а по едва заметным «мазкам», выдающим чужую руку.
