Хакерская группировка Silent Werewolf и использование LLM
Фото Getty Images
Хакерская группировка Silent Werewolf, известная также как XDSpy, уже около 14 лет атакует организации в СНГ. Недавно Forbes узнал, что они начали использовать большую языковую модель (LLM) не только для разработки ПО, но и для обхода систем защиты. С начала года эксперты зафиксировали десятки случаев использования LLM для атак на энергетические и промышленные организации.
Обходные маневры
По информации Forbes из Bi:Zone, участники Silent Werewolf использовали большую языковую модель для обхода средств защиты в марте 2025 года.
- LLM преодолевала «песочницу» — защитное средство, которое выявляет угрожающие программы.
- Пострадавшие организации устанавливали оболочку, полученную через фишинг.
- Если оболочка запускалась в «песочнице», вместо вредоносного софта устанавливался легитимный файл — языковая модель Llama.
Таким образом, защитные системы пропускали файл с Llama, и злоумышленники получали доступ к основной вредоносной нагрузке.
Вредоносные кампании Silent Werewolf
В марте 2025 года группировка провела две кампании против российских и молдавских организаций в секторах:
- Атомной отрасли
- Приборостроения
- Авиации
- Машиностроения
В данной ситуации использовалась LLM для обхода «песочниц» в примерно 80 случаях.
Анализ подхода к атакам
Специалисты Bi:Zone отмечают, что злоумышленники вероятно активно экспериментируют с языковыми моделями для:
- Написания кода
- Планирования атак
- Составления фишинговых писем
Возможный ущерб оценить сложно, так как цель атакующих — шпионаж, а не разрушение инфраструктуры.
Влияние ИИ на кибербезопасность
Специалисты предполагают, что использование ИИ хакерами будет увеличиваться. Это повлияет на:
- Число длительных и комплексных атак.
- Автоматизацию процессов анализа скомпрометированной инфраструктуры.
Генеральный директор RED Security Иван Вассунов подчеркивает постоянное увеличение числа атак и дефицит кадров в Отрасли.
Попытки применения Llama
Специалисты F6 также зафиксировали использование Llama группировкой Silent Werewolf. Этот подход был замечен еще в апреле 2024 года, когда вместо вредоносных файлов загружался файл размером 45,4 Гб с именем llama-2-70b.Q5_K_M.gguf.
Безопасность систем
Киберпреступники применяют LLM для обхода защитных систем. Директор T.Hunter Игорь Бедеров подтверждает, что такие атаки редки, но их количество растет.
- Для противодействия необходимы технические улучшения песочниц.
- Регулярный аудит LLM.
- Повышение осведомленности сотрудников.
Сравнение методов атак
По версии Positive Technologies, злоумышленники не всегда используют LLM эффективно. Хакеры могут направлять жертв на скачивание разных типов файлов:
- Вредоносное ПО, как XDigo.
- Легитимные файлы, которые служат для маскировки.
В результате целевые системы не получают настоящую вредоносную нагрузку.
Заключение
Использование языковых моделей в кибератаках является новой стратегией, требующей внимательного анализа и улучшения механизмов защиты.