Китайські хакери провели перше в історії ШІ-кібершпигунство

Кібершпигуни з Китаю використовували Claude Code AI для багаторівневої атаки на близько тридцяти великих компаній та держустанов.

Група GTG-1002, що зв’язується з владою Китаю, провела масштабну кібератакію, використавши інструмент Claude Code AI. Це перший задокументований випадок, коли подібну операцію провели практично без активної участі людей. Під прицілом опинилися технологічні компанії, фінансові організації, виробники хімічної продукції та структури державного сектора.

Подробиці хакерського злому китайцями

Після виявлення підозрілої активності Anthropic розпочала внутрішнє розслідування для встановлення обсягу інциденту. За десять днів компанія блокувала облікові записи, які могли бути задіяні в атаці, попереджала постраждалих клієнтів та координувала подальші кроки з відповідальними органами. Компанія також оприлюднила докладний звіт, в якому описано перебіг подій.

У ході розслідування з’ясувалося, що кібератака спиралася на можливості моделей штучного інтелекту, які ще рік тому не використовувалися в подібних сценаріях. ШІ Claude отримав доступ до різних програмних інструментів за допомогою відкритих стандартів типу Model Context Protocol. Це дозволило йому самостійно збирати дані з інтернету, виконувати пошук, проводити технічні операції та застосовувати програмне забезпечення з функціями мережевого сканування та злому паролів.

Як використовували ШІ при зломі?

У звіті пояснюється, що розроблений операторами фреймворк використав Claude для побудови та управління складною структурою кібероперації. Система створила кілька субагентів, кожен із яких відповідав за окремі етапи атаки: від формування карти потенційних зон проникнення та аналізу інфраструктури до пошуку вразливостей та розробки способів їх використання. Після генерування експлойтів та підготовки корисних навантажень людина лише переглядала результати роботи штучного інтелекту та дозволяла подальші дії. Це займало від двох до десяти хвилин.

На наступних етапах субагенти виконували операції з пошуку облікових даних, підвищення привілеїв, пересування по мережі та отримання доступу до конфіденційної інформації. Завершальна фаза передбачала отримання даних, яке також затверджувалося оператором після перевірки результатів роботи моделі.

Подібні інциденти стають дедалі частіше. Як повідомлялося раніше, група Kimsuky, що пов’язується з Північною Кореєю, застосувала штучний інтелект ChatGPT для створення підробленого військового посвідчення Південної Кореї, що дозволило підвищити ефективність атаки фішингу.