Нейросети теперь сами сносят файрволы: скрипт CyberStrikeAI в одиночку делает работу сотни живых взломщиков
NewsMakerКак китайские спецслужбы подарили миру автоматический сканер уязвимостей.
Компания Team Cymru анализирует сетевой трафик на глобальном уровне, используя агрегированные данные NetFlow и результаты сканирования открытых портов. Такие данные позволяют видеть, какие IP-адреса устанавливают соединения друг с другом, какие сервисы запущены на узлах сети и какие устройства становятся целями массового сканирования или подозрительных обращений. По этим телеметрическим потокам аналитики пытаются находить инфраструктуру злоумышленников, отслеживать новые инструменты атак и понимать, какие системы выбирают в качестве целей.
Один из таких эпизодов привёл исследователей к инструменту CyberStrikeAI — открытому проекту, использующему механизмы искусственного интеллекта. Интерес к нему возник после публикации команды Amazon CTI, которая описала инфраструктуру злоумышленников, применявших ИИ в атаках , и указала связанный с ней IP-адрес 212.11.64.250.
Team Cymru проверила этот адрес в собственной системе Scout и в данных сканирования портов обнаружила на сервере характерный сетевой баннер CyberStrikeAI. Такой баннер обычно возвращает сервис, когда к нему подключаются по сети, поэтому по нему можно понять, какое программное обеспечение работает на узле.
Следующий шаг состоял в проверке, использовался ли этот сервер для реальных операций. Для этого аналитики изучили NetFlow-соединения — метаданные сетевого трафика, которые показывают, какие узлы устанавливают связь друг с другом. Эти данные указали на обращения к устройствам Fortinet FortiGate. Такие системы часто стоят на границе корпоративных сетей и выполняют роль межсетевых экранов и VPN-шлюзов, поэтому они регулярно становятся объектом разведки и попыток эксплуатации.
Компания Team Cymru анализирует сетевой трафик на глобальном уровне, используя агрегированные данные NetFlow и результаты сканирования открытых портов. Такие данные позволяют видеть, какие IP-адреса устанавливают соединения друг с другом, какие сервисы запущены на узлах сети и какие устройства становятся целями массового сканирования или подозрительных обращений. По этим телеметрическим потокам аналитики пытаются находить инфраструктуру злоумышленников, отслеживать новые инструменты атак и понимать, какие системы выбирают в качестве целей.
Один из таких эпизодов привёл исследователей к инструменту CyberStrikeAI — открытому проекту, использующему механизмы искусственного интеллекта. Интерес к нему возник после публикации команды Amazon CTI, которая описала инфраструктуру злоумышленников, применявших ИИ в атаках , и указала связанный с ней IP-адрес 212.11.64.250.
Team Cymru проверила этот адрес в собственной системе Scout и в данных сканирования портов обнаружила на сервере характерный сетевой баннер CyberStrikeAI. Такой баннер обычно возвращает сервис, когда к нему подключаются по сети, поэтому по нему можно понять, какое программное обеспечение работает на узле.
Следующий шаг состоял в проверке, использовался ли этот сервер для реальных операций. Для этого аналитики изучили NetFlow-соединения — метаданные сетевого трафика, которые показывают, какие узлы устанавливают связь друг с другом. Эти данные указали на обращения к устройствам Fortinet FortiGate. Такие системы часто стоят на границе корпоративных сетей и выполняют роль межсетевых экранов и VPN-шлюзов, поэтому они регулярно становятся объектом разведки и попыток эксплуатации.