Світ кібербезпеки часто зациклений на сценарії «судного дня»: просунутому автономному ІІ, який, подібно до цифрової суперсили, зможе обходити будь-які брандмауери. Проте недавнє розслідування виявило набагато більш насущну та практичну загрозу. Замість створення «суперхакерів», генеративний ІІ виступає в ролі помножувача сили для посередніх та некваліфікованих злочинців, дозволяючи їм проводити високоприбуткові та великомасштабні операції.
Нещодавній звіт компанії Expel, що спеціалізується на кібербезпеці, розкрив діяльність спонсорованого північнокорейською державою угруповання під назвою «HexagonalRodent». Використовуючи комерційні інструменти ІІ, вони вкрали криптовалюту на суму близько 12 мільйонів доларів всього за три місяці.
Компанія в стилі «Vibe Coding»
Операція HexagonalRodent відрізнялася не технічним генієм, а вмілим використанням загальнодоступних інструментів ІІ від таких компаній, як OpenAI, Cursor і Anima. Угруповання націлилося на специфічну нішу: розробників, які працюють над невеликими проектами у сферах Web3, NFT та криптовалют.
Хакери використовували витончену тактику соціальної інженерії:
1. Фейковий рекрутинг: За допомогою інструментів ІІ для веб-дизайну вони створювали професійно сайти, що виглядають, для підставних технологічних компаній.
2. Фішінг через «тестові завдання»: Жертв заманювали фіктивними пропозиціями про роботу, зрештою пропонуючи їм виконати «тестове завдання з програмування».
3. Використання шкідливих програм: Ці завдання були заражені шкідливим кодом для крадіжки облікових даних, призначеним для захоплення криптогаманців.
«Ці оператори не мають навичок написання коду… ІІ фактично дозволяє їм робити речі, які інакше вони просто не змогли б здійснити», — каже Маркус Хатчинс, дослідник безпеки, який виявив угруповання.
Цифрові відбитки: емодзі та англійська мова
Незважаючи на успіх, хакери залишили незаперечні докази того, що їхню роботу було створено ІІ. Дослідники безпеки відзначили кілька характерних ознак у коді:
– Код, переповнений емодзи: У шкідливому програмному забезпеченні часто використовувалися емодзи – поширена особливість великих мовних моделей (LLM), яку професійні програмісти рідко застосовують при ручному написанні коду.
– Нетипові інструкції: Код був густо усіяний коментарями англійською мовою, що нехарактерно для північнокорейських операторів, але є стандартом для результатів роботи ІІ.
– Стандартні патерни: Хоча шкідливе ПЗ слід передбачуваним шаблонам, які сучасні засоби захисту мають виявляти, хакерам вдавалося залишатися непоміченими, вибираючи метою окремих розробників, у яких не було корпоративного ПЗ класу «виявлення та реагування на кінцевих точках» (
«Злочинний синдикат» з множником сили
Це відкриття наголошує на критичному зрушенні в методах ведення кібервійни Північною Кореєю. Режим стикається зі структурною проблемою: він має величезний штат низькокваліфікованих IT-фахівців, але вкрай мало елітних хакерів.
ІІ вирішує цю проблему, дозволяючи державі масштабувати свої операції, не підвищуючи рівня експертизи. Замість повноцінної команди розробників один посередній оператор може використовувати ІІ для написання експлойтів, створення сайтів та відточування сценаріїв соціальної інженерії. Це перетворило північнокорейські кібероперації на щось, що нагадує державний злочинний синдикат, який використовує вкрадені кошти для обходу міжнародних санкцій та фінансування державних інтересів, включаючи ядерну програму.
Сліпа пляма індустрії
Наслідки для промисловості кібербезпеки дуже значні. У той час як більшість поточних дискусій зосереджена на майбутніх ризиках «автономного ІІ для хакінгу», реальна небезпека проявляється прямо зараз через нецільове використання існуючих комерційних інструментів.
Великі постачальники ІІ вже ведуть боротьбу. OpenAI та Anthropic повідомили про виявлення та блокування північнокорейських акаунтів. Cursor та Anima також працюють над тим, щоб закрити зловмисникам доступ до своїх платформ.
Однак, поки ці інструменти залишаються доступними, вони продовжуватимуть знижувати поріг входження в кіберзлочинність. Загроза – це не гіпотетичний «Скайнет», а здатність некваліфікованих суб’єктів діяти з безпрецедентною швидкістю та масштабом.
Висновок: ІІ не обов’язково створює більш витончених хакерів, але він дозволяє посереднім фахівцям працювати на професійному рівні, перетворюючи низькокваліфіковану кіберзлочинність у високоприбуткову галузь, яку спонсорує держава.
