Спонсируемый государством шпионаж вступает в эру ИИ: Google раскрывает масштабные злоупотребления Gemini

В знаковом заявлении, подчеркивающем обоюдоострую природу искусственного интеллекта, группа анализа угроз Google (Google’s Threat Intelligence Group, GTIG) опубликовала подробный отчет, в котором описывается, как спонсируемые государством субъекты из Китая, Ирана, Северной Кореи и России систематически эксплуатируют Gemini ИИ. Отчет, выпущенный на этой неделе, предоставляет самые детальные на сегодняшний день доказательства того, что Генеративный ИИ (Generative AI) больше не является просто теоретическим риском в кибербезопасности, а стал активным операционным инструментом на всех этапах жизненного цикла атаки.

От совершенствования фишинговых приманок до создания кода полиморфного вредоносного ПО — злоумышленники используют возможности Больших языковых моделей (Large Language Models, LLM) для ускорения своих кампаний. Возможно, самым тревожным является то, что Google выделила новый сложный класс угроз: «атаки дистилляции» (distillation attacks), в ходе которых киберпреступники пытаются украсть интеллектуальную собственность самих моделей ИИ для создания нецензурируемых частных версий технологии.

В то время как ландшафт ИИ раскалывается между открытыми инновациями и секьюритизированным контролем, эти разоблачения приходятся на поворотный момент. Пока Google борется с несанкционированным использованием ИИ странами-изгоями, Министерство обороны США оказывается в состоянии публичного противостояния с лидером в области ИИ Anthropic из-за ограничений безопасности, что рисует сложную картину будущего милитаризированного ИИ.

Рост атак «дистилляции»: кража мозга ИИ

Одним из наиболее технически значимых выводов отчета Google является распространенность извлечения моделей, или атак «дистилляции». В отличие от традиционной кражи данных, нацеленной на информацию о пользователях или учетные данные, атаки дистилляции нацелены на когнитивную архитектуру модели ИИ.

Google сообщила о пресечении масштабной кампании, включающей более 100 000 сгенерированных промптов, предназначенных для прощупывания логики, рассуждений и лингвистических возможностей Gemini. Целью злоумышленников было не нарушение работы сервиса, а его репликация. Систематически запрашивая модель и записывая ее ответы, противники могут создать набор данных для обучения более мелких моделей-«учеников», которые имитируют производительность Gemini.

Почему дистилляция имеет значение:

• Кража интеллектуальной собственности: Она позволяет конкурентам или злоумышленникам клонировать запатентованную технологию, не неся огромных затрат на обучение передовой модели.
• Обход фильтров безопасности: Как только злоумышленник «дистиллировал» возможности модели в свою собственную частную систему, он может удалить защитные барьеры (Reinforcement Learning from Human Feedback, RLHF), которые такие компании, как Google и OpenAI, тщательно внедряют. Это приводит к созданию нецензурируемой модели, способной писать вредоносное ПО или генерировать разжигание ненависти без ограничений.
• Масштабируемость: Google отмечает, что эти атаки высокомасштабируемы и часто автоматизированы, превращая законный доступ к API в канал для откачки ценных разведывательных данных.

Глобальные субъекты угроз и их тактика

В отчете подробно описывается «непрекращающийся шквал» активности, при этом конкретные тактики, дополненные ИИ, приписываются известным группам Advanced Persistent Threat (APT). Разнообразие этих атак иллюстрирует, что ИИ внедряется не только элитными хакерскими подразделениями, но и во всем спектре кибершпионажа.

В следующей таблице обобщены основные субъекты, выявленные Google, и их конкретные случаи злоупотребления Gemini:

Северная Корея: вербовочный маскарад

Северокорейская группа UNC2970, связанная с печально известной Lazarus Group, интегрировала Gemini в свою давнюю операцию «Operation Dream Job». Эта кампания нацелена на сотрудников оборонного и аэрокосмического секторов с помощью фальшивых предложений о работе для проникновения в защищенные сети. Анализ Google показывает, что UNC2970 использует Gemini для сбора и синтеза разведданных из открытых источников (Open Source Intelligence, OSINT) из LinkedIn и других платформ. Вводя профили в ИИ, группа создает высокоперсонализированные, заслуживающие доверия вербовочные материалы, которые обходят скептицизм целей, заботящихся о безопасности. ИИ позволяет им сопоставлять технические роли и структуры зарплат с беспрецедентной скоростью.

Иран: двигатель социальной инженерии

Для иранских субъектов, таких как APT42, барьером для входа в эффективную социальную инженерию исторически были язык и культурные нюансы. Gemini эффективно снизил этот барьер. Группа использует модель для составления фишинговых писем, которые грамматически безупречны и культурно адаптированы к их целям в Израиле и США. Кроме того, APT42 использует ИИ для действий после компрометации, таких как парсинг украденных данных для быстрого выявления ценных адресов электронной почты и учетных данных, что ускоряет время «прорыва» (breakout time) после первоначального взлома.

Китай: автоматизация цепочки поражения

Китайские государственные группы проявили предпочтение к технической интеграции. Вместо того чтобы просто использовать ИИ для текста, они применяют Gemini для анализа кода. В отчете подчеркивается, как такие группы, как UNC4841, используют модель для предложения оптимизаций скриптов или выявления ошибок в потенциальных эксплойтах. Это указывает на переход к «хакингу с помощью ИИ», когда люди-операторы используют LLM как умножитель силы для поиска уязвимостей нулевого дня или написания полиморфного кода, который обходит антивирусные сигнатуры.

Автоматизированное вредоносное ПО и угроза «Honestcue»

Помимо государственного шпионажа, отчет проливает свет на внедрение ИИ в секторе коммерческой киберпреступности. Выдающимся открытием стал «Honestcue» — фреймворк вредоносного ПО, специально разработанный для использования Gemini API.

Honestcue работает как загрузчик и установщик, который отправляет запросы на естественном языке в Gemini API и получает в ответ вредоносный исходный код на C#. Поскольку код генерируется динамически и выполняется в памяти, он создает «бесфайловый» (fileless) след атаки, который невероятно трудно зафиксировать традиционным системам защиты конечных точек. Это представляет собой значительную эволюцию: вредоносное ПО больше не является статичным файлом, а представляет собой динамический набор инструкций, генерируемых на лету облачным ИИ.

Аналогичным образом Google выявила кампании «ClickFix» — атаки социальной инженерии, которые используют ИИ для генерации убедительных инструкций по технической поддержке. Эти инструкции заставляют пользователей копировать и вставлять вредоносные скрипты в свои собственные терминалы, эксплуатируя доверие жертвы к руководствам по «исправлению проблем».

Дилемма обороны: Anthropic против Пентагона

Пока Google борется за то, чтобы не допустить преступников в свою экосистему ИИ, в Вашингтоне назревает другая битва по поводу того, кому разрешен вход. Как подтвердили отчеты Axios и The Wall Street Journal на этой неделе, Министерство обороны США (Department of Defense, DoD) конфликтует с поставщиком ИИ Anthropic из-за строгой политики использования последнего.

Министр обороны Pete Hegseth пригрозил назвать Anthropic «риском для цепочки поставок» и разорвать связи с компанией. Суть спора заключается в подходе Anthropic «Конституционный ИИ» (Constitutional AI), который включает отказы в помощи в разработке оружия или смертоносных операциях. Хотя эти меры защиты призваны предотвратить именно тот вид злоупотреблений, который Google наблюдает со стороны Ирана и Северной Кореи, Пентагон рассматривает их как помеху.

«Нашим бойцам необходим доступ к моделям, обеспечивающим превосходство в принятии решений на поле боя», — заявил представитель Министерства обороны, критикуя модели, которые «не позволяют вам вести войны». Эта напряженность была усилена разоблачением того, что модель Claude от Anthropic якобы использовалась через Palantir во время январского рейда, в результате которого был захвачен президент Венесуэлы Nicolás Maduro. Инцидент подчеркивает «Дилемму двойного назначения» (Dual-Use Dilemma): те самые гарантии, предназначенные для предотвращения превращения ИИ в инструмент террора, теперь преподносятся как препятствия для национальной безопасности.

Стратегические последствия для отрасли

Слияние этих двух историй — отчета Google о преступных злоупотреблениях и спора Пентагона с Anthropic — рисует суровую картину ландшафта безопасности ИИ в 2026 году.

Для специалистов по кибербезопасности отчет Google подтверждает, что «барьер для входа» для сложных атак рухнул. Скрипт-кидди теперь могут генерировать сложное вредоносное ПО, а неносители языка могут создавать идеальные фишинговые приманки. Атаки «дистилляции» служат предупреждением для всех корпоративных пользователей ИИ: ваша модель — это ваша интеллектуальная собственность, и она находится под активной осадой.

Для политиков противоречие очевидно. От отрасли одновременно требуют закрыть модели для предотвращения злоупотреблений со стороны государств (вызов Google) и открыть модели для обеспечения санкционированных государством военных операций (вызов Anthropic). Поскольку такие субъекты угроз, как UNC2970 и APT42, продолжают внедрять инновации, способность Запада сбалансировать инновации, безопасность и оборонный потенциал определит следующую эру кибервойны.

Ответом Google стало укрепление ее «надежной экосистемы» защиты, блокирующей учетные записи и инфраструктуру, связанные с этими субъектами. Однако, как демонстрирует вредоносное ПО «Honestcue», пока API открыты для бизнеса, они остаются открытыми для эксплуатации.