Интервью Спонсируемые государством кибератаки и хактивисты Ирана активизировали свою деятельность с тех пор, как на прошлой неделе разразился военный конфликт с Израилем, но не обязательно так, как ожидал директор по информационной безопасности Amazon Си Джей Мозес.
Как и у большинства мировых держав и их подражателей, в Иране есть целая команда хакеров, поддерживаемых правительством, которые выполняют всю обычную грязную работу в киберпространстве для государства: шпионаж, вмешательство в выборы, фишинг, кражу данных и учетных данных, внедрение программ-вымогателей и, в некоторых случаях, взлом веб-сайтов. системы водоснабжения и другие важнейшие объекты инфраструктуры.»У каждого из действующих лиц, представляющих угрозу, своя цель», — сказал Мозес в интервью The Register, добавив, что Amazon узнала кое-что интересное об иранцах: «В отличие от того, что мы видели в России, когда они вторглись в Украину, мы не они увидели изменение в своих целях».
Перед вторжением России в Украину кремлевские команды программ-вымогателей, поддерживаемые государством или получившие разрешение от государства, переключились на вредоносное ПО wiper, которое безвозвратно уничтожало данные в критически важных системах для поддержки вторжения.
Иранские кибервоины не сделали того же, сказал Мозес.
«В большинстве случаев это была повышенная активность, но того же типа», — добавил он. «Это попытка получить доступ к тому, чем занимался этот конкретный участник угроз в прошлом, будь то финансовая выгода или кража интеллектуальной собственности. Главный вывод, который я сделал из этого: по сути, это режим повышенной готовности, все работают, но методы и то, что они делают, не изменились».
Мозес сказал, что команда Amazon по анализу угроз не обнаружила никаких разрушительных кибератак с начала вооруженного конфликта. «Это то, чего мы ожидали», — сказал он. «Это может привести к тому, каковы цели этих конкретных организаций или команд. О том, к чему у них был доступ, насколько это вредно или выгодно для них в свете происходящего».
Это может указывать на желание сохранить доступ к определенным критически важным сетям или системам для использования в будущем, в зависимости от того, как будет развиваться военная составляющая, отметил он.
В большинстве случаев это была повышенная активность, но одного и того же типа, будь то получение финансовой выгоды или кража интеллектуальной собственности.Мозес также не говорит, о каких кибергруппах, связанных с Тегераном, он говорит, поскольку Amazon не раскрывает свою таксономию названий групп угроз. Исполнительный директор CISO отметил, что «мы намеренно, внутренне, называем их по-другому».
Еще одна вещь, которая удивила Мозеса (до сих пор) в кибератаковой стратегии Ирана, — это его незаинтересованность в ИИ.
«Мы не видели, чтобы Иран применял искусственный интеллект. так же, как и переход к gen AI или agentic AI от некоторых из этих участников угроз», — сказал он.Это необычно, потому что некоторые из других банд, которые отслеживает Amazon, как государственные, так и финансово мотивированные, «осуществляют агентурные передачи», в которых они используют различных агентов с искусственным интеллектом для каждой части цепочки атак. Один агент сканирует уязвимости и, обнаружив их, передает работу другому агенту, который работает над использованием уязвимости, и так далее, пока преступники не достигнут своей цели.Осмелюсь сказать, это становится нормой», — сказал Мозес.
Agentic AI повышает скорость атакующих.
AWS запускает сеть «ловушек» в своей инфраструктуре, известную как MadPot, и использует десятки тысяч датчиков для отслеживания попыток преступников подключиться к приманкам, размещенным в «ловушках».»Раньше мы размещали новый уязвимый экземпляр, и в течение 90 секунд он сканировался, а в течение трех минут кто-нибудь пытался им завладеть», — сказал Мозес. «Эта временная шкала существенно меняется из-за возможностей ИИ с привязкой к сети».
Amazon теперь видит, как злоумышленники пытаются захватить уязвимый экземпляр «почти в режиме реального времени», — сказал Мозес, и приписал агентам ИИ более быстрые атаки. Это означает, что у сетевых защитников остается гораздо меньше времени для защиты своих организаций.
У вас есть совершенно новое поколение разработчиков сценариев, использующих agentic AI
«Агенты предназначены для выполнения примерно одной задачи», — объяснил он. «Вы начинаете с первого, он выбирает, что будет дальше, основываясь на его результатах, и вы связываете их воедино, чтобы достичь результата, который вы предопределяете, начиная от получения доступа к информации о том, являетесь ли вы преступником, пытаясь извлечь из этого какие-либо финансовые возможности, или если вы являетесь нацией государственный деятель, создающий плацдарм и осуществляющий оттуда разведку».
Между тем, по словам Мозеса, количество групп угроз, которые отслеживает Amazon, увеличилось на 30-35 процентов за последние восемь месяцев по аналогичной причине.»Мы объясняем это тем, что разработчики, не занимающиеся программным обеспечением, могут проникнуть в это пространство и использовать либо агентов, либо код, сгенерированный искусственным интеллектом», — сказал он. «У вас есть целое новое поколение разработчиков сценариев, использующих эти инструменты, но они не просто разбираются в вещах, у них есть ИИ, который повышает их уровень».
Положительным моментом во всем этом является то, что AWS также использует агентов ИИ и объединяет их для выполнения задач. различные части атак в рамках учений по объединению усилий для защиты своей инфраструктуры и клиентов.
«Если хотите, это настоящая агентурная битва”, — сказал Мозес. ®
