Google сорвала атаку с AI на неизвестный zero-day

Google заявила, что остановила преступную группу, которая использовала большую языковую модель для поиска и подготовки атаки через неизвестную уязвимость в чужой системе защиты. Речь шла о zero-day в популярном инструменте онлайн-администрирования. Через него злоумышленники собирались обходить двухфакторную аутентификацию и заходить в инфраструктуру без лишнего шума.

Самое неприятное здесь не в слове zero-day, к нему индустрия давно привыкла. Новость в другом: AI добрался до той части взлома, где раньше требовались хорошие исследователи, время и дорогая ручная работа. В криминальном мире LLM уже успели послужить фабрикой фишинга, спама и кривого вредоноса. Поиск эксплуатируемой дыры в реальном корпоративном софте — это уже другая лига.

Какую атаку с zero-day остановила Google

По словам компании, её аналитики заметили подготовку крупной операции со стороны известной группы threat actors. Уязвимость находилась в неназванном сервисе системного администрирования, который используют для управления учётками, машинами или настройками. Google уведомила пострадавшую компанию и правоохранителей, после чего атаку сорвали до того, как она успела вылиться в шифровальщик, вымогательство или массовую кражу данных.

«Это уже здесь. Эпоха поиска уязвимостей и эксплуатации с помощью AI уже наступила».

Джон Халтквист, главный аналитик Google Threat Intelligence

Google раскрыла минимум деталей. Она не назвала ни группу, ни цель, ни сам продукт, где нашли баг. Известно лишь, что следов связи с государством нет, хотя связанные с Китаем и Северной Кореей игроки уже изучали похожие техники. Ещё один любопытный штрих: в Google считают, что для атаки использовали не Gemini и, скорее всего, не Claude Mythos от Anthropic.

Сам факт обхода 2FA здесь бьёт больнее, чем очередная история про «умный AI». За последние годы злоумышленники и без того научились обходить двухфакторку через кражу сессий, прокси вроде Evilginx и атаки adversary-in-the-middle. Теперь сценарий меняется: если у тебя есть zero-day в админ-платформе, можно обойти защиту на уровне продукта и не тратить время на уговоры жертвы нажать на ссылку.

Киберверсии моделей Anthropic и OpenAI

Такие сервисы любят и админы, и вымогатели по одной причине: они дают короткий путь к большому числу систем сразу. Если дыра находится в панели, через которую управляют парком устройств или доступами, одна удачная эксплуатация может превратиться в полный проход по компании за часы, а не за недели.

• доступ к машинам и учёткам идёт через одну точку входа
• обход 2FA убирает самый дешёвый барьер, на который до сих пор надеются тысячи компаний
• криминальным группам проще быстро развернуть вымогатель, кражу данных или удалённое управление

Халтквист отдельно отметил скорость. И это, пожалуй, главное слово во всей истории. Государственные шпионы обычно двигаются тихо и долго. Преступники работают по другой экономике: им нужно зайти, выгрузить данные, зашифровать всё ценное и прислать счёт. AI даёт им то, что они ценят больше всего, время. Точнее, экономию времени.

По нашим данным, именно эта часть тревожит защитников сильнее громких демонстраций «автономных агентов». Бизнес годами живёт на старом коде, старых VPN, старых панелях управления и вере в то, что патч можно поставить «на следующей неделе». Если модели действительно научились находить пригодные для эксплуатации баги быстрее людей, лаг между обнаружением и атакой сожмётся до совсем неприятных значений.

В подполье это зрело давно. Ещё в 2023 году на форумах продавали WormGPT и FraudGPT, заточенные под фишинг, обман и генерацию вредоносных шаблонов. Тогда это было неприятно, но не выглядело как конец света. Превращение LLM в помощника по реальному vulnerability research уже пахнет не дешёвой автоматизацией, а индустриализацией первичного доступа.

Вся эта история происходит на фоне странной гонки, где индустрия сначала хвастается тем, насколько хорошо её модели пишут код и ищут ошибки, а потом судорожно придумывает, кому их нельзя давать в руки. Месяц назад Anthropic представила Mythos и заявила, что модель настолько сильна в хакинге и кибербезопасности, что доступ к ней получит лишь узкий круг доверенных организаций. Заодно компания собрала Project Glasswing с участием Amazon, Apple, Google, Microsoft и JPMorgan Chase, чтобы закрывать риски для критического софта.

Параллельно администрация Дональда Трампа шлёт сигналы в своём фирменном стиле, то есть все сразу и в разные стороны. Старые байденовские ограничения по AI она снесла, затем Минторг объявил о соглашениях с Google, Microsoft и xAI по проверке сильнейших моделей перед публичным релизом, а потом это сообщение исчезло с сайта. Даже сторонники минимального регулирования уже проговаривают вслух неприятную мысль: в кибербезопасности рынок сам по себе может и не вывезти.

OpenAI уже двинулась в ту же сторону и выпустила специализированную киберверсию ChatGPT только для защитников критической инфраструктуры. Логика проста: если модель умеет находить слабые места, пускать её в открытую продажу без фильтров было бы слишком щедрым подарком вымогателям. Проблема в том, что такие ограничения работают до первой утечки весов, обхода защит или появления сопоставимой модели у более сговорчивого конкурента.

Дин Болл из Foundation for American Innovation смотрит на это без иллюзий: в длинной перспективе AI может сделать код лучше и снизить число рутинных атак на школы, больницы и муниципальные сети. В короткой перспективе мир получает переходный период, где у защитников старый софт, у бизнеса хроническая недопатченность, а у атакующих внезапно появляется инструмент для ускоренного поиска дыр. Самый вероятный сценарий на ближайший год: рост числа быстрых вторжений в средние компании, где панель администрирования обновляют реже, чем бухгалтерию.

Название уязвимого сервиса Google не раскрыла.