В обзоре главных событий 2024 года Ars Technica упомянула атаку на цепочку поставок, которая едва не привела к катастрофе для тысяч, возможно, миллионов организаций, включая множество компаний из списка Fortune 500 и правительственных учреждений. Атаки на цепочки поставок вновь заняли видное место в этом году, поскольку, казалось бы, бесконечная череда их обрушилась на организации, большие и малые.
Для злоумышленников атаки на цепочки поставок – это подарок, который продолжает приносить плоды, или, если хотите, взлом, который продолжает взламывать. Компрометируя одну цель с большим количеством пользователей, например, облачный сервис или сопровождающих, или разработчиков широко используемого открытого исходного кода или проприетарного программного обеспечения, злоумышленники могут заразить потенциально миллионы пользователей этой цели. Именно это и сделали злоумышленники в 2025 году.
Один такой случай произошел в декабре 2024 года, что делает его достойным упоминания в 2025 году. Хакеры, стоящие за этой кампанией, положили в карман до 155 000 долларов США, полученных от тысяч участников смарт-контрактов в блокчейне Solana.
Хакеры нажились на том, что внедрили бэкдор в библиотеку кода, используемую разработчиками программного обеспечения, связанного с Solana. Фирма, занимающаяся вопросами безопасности, Socket заявила, что подозревает, что злоумышленники взломали учетные записи, принадлежащие разработчикам Web3.js, библиотеки с открытым исходным кодом. Затем они использовали доступ для добавления бэкдора в обновление пакета. После того как разработчики децентрализованных приложений Solana установили вредоносное обновление, бэкдор распространился дальше, предоставив злоумышленникам доступ к отдельным кошелькам, подключенным к смарт-контрактам. Затем бэкдор мог извлекать личные ключи.
В этом году было слишком много атак на цепочки поставок, чтобы перечислить их все. Среди других наиболее заметных примеров можно отметить:
Еще одним классом атак, которые в 2025 году происходили чаще, чем кто-либо может сосчитать, был взлом AI-чат-ботов. Наиболее далеко идущие последствия имели взломы, которые отравили долговременную память LLM. Подобно тому, как атаки на цепочки поставок позволяют одному компромиссу вызвать каскад последующих атак, взломы долговременной памяти могут заставить чат-бот совершать вредоносные действия снова и снова.
Одна из таких атак использовала простой запрос пользователя, чтобы поручить LLM, ориентированной на криптовалюту, обновить свои базы данных памяти событием, которое на самом деле никогда не происходило. Чат-бот, запрограммированный на выполнение команд и принятие пользовательского ввода за чистую монету, не смог отличить вымышленное событие от реального.
В данном случае AI-сервисом была ElizaOS, начинающая платформа с открытым исходным кодом для создания агентов, которые выполняют различные транзакции на основе блокчейна от имени пользователя на основе набора предопределенных правил. Академические исследователи смогли повредить память ElizaOS, скормив ей предложения, утверждающие, что определенные события, которые на самом деле никогда не происходили, произошли в прошлом. Эти ложные события затем влияют на будущее поведение агента.
Пример запроса атаки утверждал, что разработчики, разработавшие ElizaOS, хотели, чтобы она заменяла кошелек получателя для всех будущих переводов на кошелек, контролируемый злоумышленником. Даже когда пользователь указывал другой кошелек, долговременная память, созданная запросом, заставляла платформу заменять его на вредоносный. Атака была всего лишь демонстрацией концепции, но академические исследователи, разработавшие ее, заявили, что стороны контракта, которые уже имеют право совершать транзакции с агентом, могут использовать те же методы для обмана других сторон.
Независимый исследователь Йохан Ребергер продемонстрировал аналогичную атаку против Google Gemini. Ложные воспоминания, которые он внедрил, заставили чат-бот ослабить защиту, которая обычно ограничивает вызов Google Workspace и других конфиденциальных инструментов при обработке ненадежных данных. Ложные воспоминания сохранялись навсегда, позволяя злоумышленнику неоднократно получать прибыль от компрометации. Ребергер представил аналогичную атаку в 2024 году.
Третья связанная с AI атака, доказывающая концепцию, которая привлекла внимание, использовала инъекцию подсказки, чтобы заставить чат-бот GitLab Duo добавить вредоносные строки в в остальном легитимный пакет кода. Вариант атаки успешно извлек конфиденциальные данные пользователя.
Еще одна примечательная атака была нацелена на инструмент кодирования Gemini CLI. Это позволило злоумышленникам выполнять вредоносные команды, такие как стирание жесткого диска, на компьютерах разработчиков, использующих инструмент AI.
Другие взломы с участием LLM использовали чат-боты, чтобы сделать атаки более эффективными или скрытными. Ранее в этом месяце двум мужчинам было предъявлено обвинение в краже и стирании конфиденциальных правительственных данных. Один из мужчин, по словам прокуроров, пытался замести следы, спросив инструмент AI: «Как очистить системные журналы с серверов SQL после удаления баз данных». Вскоре после этого он якобы спросил инструмент: «Как очистить все журналы событий и приложений с Microsoft Windows Server 2012». Следователи все равно смогли отследить действия обвиняемых.
В мае мужчина признал себя виновным во взломе сотрудника The Walt Disney Company, обманом заставив его запустить вредоносную версию широко используемого инструмента AI для генерации изображений с открытым исходным кодом.
А в августе исследователи Google предупредили пользователей чат-агента Salesloft Drift AI о необходимости считать все токены безопасности, подключенные к платформе, скомпрометированными после обнаружения того, что неизвестные злоумышленники использовали некоторые из учетных данных для доступа к электронной почте из учетных записей Google Workspace. Злоумышленники использовали токены для получения доступа к отдельным учетным записям Salesforce и, следовательно, для кражи данных, включая учетные данные, которые можно было использовать в других нарушениях.
Было также несколько случаев уязвимостей LLM, которые обернулись против людей, использующих их. В одном случае CoPilot был уличен в раскрытии содержимого более 20 000 частных репозиториев GitHub от таких компаний, как Google, Intel, Huawei, PayPal, IBM, Tencent и, по иронии судьбы, Microsoft. Репозитории изначально были доступны и через Bing. Microsoft в конечном итоге удалила репозитории из поиска, но CoPilot все равно продолжал их раскрывать.
Еще одна значительная история безопасности выставила Meta и Yandex в роли злодеев. Обе компании были пойманы на использовании слабости Android, которая позволяла им деанонимизировать посетителей, чтобы можно было отслеживать годы их истории просмотров.
Скрытое отслеживание, реализованное в трекерах Meta Pixel и Yandex Metrica, позволило Meta и Yandex обойти основные средства защиты безопасности и конфиденциальности, предоставляемые как операционной системой Android, так и браузерами, работающими на ней. Например, песочница Android изолирует процессы, чтобы предотвратить их взаимодействие с ОС и любым другим приложением, установленным на устройстве, отрезая доступ к конфиденциальным данным или привилегированным системным ресурсам. Средства защиты, такие как разделение состояний и разделение хранилища, которые встроены во все основные браузеры, хранят файлы cookie сайта и другие данные, связанные с веб-сайтом, в контейнерах, которые уникальны для каждого домена веб-сайта верхнего уровня, чтобы гарантировать, что они недоступны для каждого другого сайта.
Умный взлом позволил обеим компаниям обойти эти средства защиты.
Интернет был разработан для обеспечения децентрализованной платформы, которая могла бы выдержать ядерную войну. Как стало болезненно очевидно за последние 12 месяцев, наша растущая зависимость от горстки компаний в значительной степени подорвала эту цель.
Сбой с наибольшим воздействием произошел в октябре, когда единая точка отказа внутри разросшейся сети Amazon вывела из строя жизненно важные сервисы по всему миру. Это продолжалось 15 часов и 32 минуты.
Основной причиной, вызвавшей цепь событий, была ошибка программного обеспечения в программном обеспечении, которое отслеживает стабильность балансировки нагрузки, в частности, периодически создавая новые конфигурации DNS для конечных точек в сети Amazon Web Services. Состояние гонки — тип ошибки, из-за которой процесс зависит от времени или последовательности событий, которые являются переменными и находятся вне контроля разработчиков, — привело к тому, что ключевой компонент внутри сети испытал «необычно высокие задержки, требующие повторной попытки обновления на нескольких конечных точках DNS», — говорится в посмертном отчете Amazon. Пока компонент догонял, накопился второй ключевой компонент — каскад ошибок DNS. В конце концов, вся сеть рухнула.
AWS была не единственной облачной службой, которая столкнулась с парализующими Интернет сбоями. Загадочный всплеск трафика в прошлом месяце замедлил работу большей части Cloudflare — и, как следствие, Интернета — до ползания. Cloudflare пережила второй крупный сбой ранее в этом месяце. Чтобы не отставать, Azure — и, как следствие, ее клиенты — пережила сбой в октябре.
Почетные упоминания для историй безопасности 2025 года включают:
Доказывая, что не все крупные истории безопасности связаны с плохими новостями, приложение для обмена личными сообщениями Signal получило серьезную переработку, которая позволит ему выдерживать атаки квантовых компьютеров. Как я писал, элегантность и умение, с которыми был переработан такой сложный инструмент, как приложение, были не чем иным, как триумфом. Если вы планируете нажать только на одну из статей, перечисленных в этой статье, то это она.
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9
Автор – Dan Goodin
