Уязвимости стороннего ПО вытесняют кражу паролей как главный вектор облачных атак
Киберпреступники сместили фокус с подбора паролей на мгновенную эксплуатацию уязвимостей в стороннем программном обеспечении, сократив время реакции до 48 часов после публикации данных об ошибке. Для бизнеса это означает необходимость перехода от контроля доступа к жесткому управлению жизненным циклом приложений и автоматизации патчинга зависимостей.
По данным отчета Google Cloud Threat Horizons Report H1 2026, основанного на анализе инцидентов второй половины 2025 года, ландшафт киберугроз в облачных средах претерпел фундаментальные изменения. Основным вектором проникновения для злоумышленников стали уязвимости в стороннем программном обеспечении, вытеснившие на второй план злоупотребление учетными данными. Этот сдвиг требует от бизнеса пересмотра подходов к безопасности: фокус смещается с контроля паролей на управление жизненным циклом приложений и оперативность устранения уязвимостей.
Скорость реакции киберпреступников достигла критического уровня. Интервал между публичным объявлением об уязвимости и началом массовых атак сократился с недель до нескольких дней. В ряде случаев злоумышленники развертывали майнеры криптовалюты XMRig уже через 48 часов после раскрытия информации об ошибке в коде. Автоматизация процессов эксплуатации позволяет атаковать внешние сервисы и приложения, используя известные дыры в безопасности с минимальным участием человека.
Смена приоритетов: от паролей к коду
Традиционные методы взлома, такие как повторное использование паролей или ошибки конфигурации, уступили место эксплуатации уязвимостей программного обеспечения. Злоумышленники все чаще находят вход в системы через незащищенные внешние приложения, используя механизмы удаленного выполнения кода. Это свидетельствует о том, что защита периметра больше не ограничивается проверкой подлинности пользователя; критическим становится состояние самого программного стека.
Эксперты отмечают роль искусственного интеллекта в этом процессе. Злоумышленники используют ИИ-инструменты для поиска слабых мест в открытом исходном коде, на котором построены современные технологические платформы. При этом наблюдается и позитивная динамика: организации стали тщательнее подходить к гигиене учетных данных, сокращая количество случаев хранения ключей доступа в ненадежных местах. Тем не менее, зависимость от сторонних компонентов создает новые риски, требующие внедрения строгих циклов обновления и усиления публичных сервисов.
Атаки на идентичность и внутренние угрозы
Несмотря на рост атак через софт, компрометация учетных записей остается фундаментом большинства инцидентов в облаках и SaaS-средах. Злоумышленники активно применяют социальную инженерию, включая голосовой фишинг. Атакующие имитируют сотрудников или представителей службы поддержки, оказывая давление на колл-центры и пользователей с целью сброса паролей или изменения настроек многофакторной аутентификации. Это позволяет получить доступ, который внутри системы выглядит легитимным.
Другим значимым каналом проникновения стала кража токенов. Компрометация OAuth-токенов и других элементов аутентификации, связанных со сторонними приложениями, дает возможность обхода стандартных процедур входа. Злоумышленники используют валидные сессии доверенных интеграций для масштабного доступа к данным без необходимости традиционного логина. В эту категорию попадают и учетные данные сервисных аккаунтов, а также токены разработчиков, случайно оставленные в репозиториях.
Внутренние угрозы эволюционируют вместе с миграцией данных в облако. Анализ инцидентов показывает, что кража информации остается доминирующей формой злонамеренной деятельности сотрудников. Корпоративные облачные хранилища и лично контролируемые сервисы становятся основными пунктами назначения для выгружаемых данных. Если ранее электронная почта была главным каналом утечки, то сейчас наблюдается быстрый рост использования платформо-независимых облачных сервисов. Сотрудники часто комбинируют несколько методов: отправку по почте, загрузку в облако и использование съемных носителей.
Сложные цепочки атак и роль ИИ
Государственные группы, демонстрируют высокую степень технической подготовки. Их кампании включают переход от компрометации рабочих станций разработчиков к захвату облачной инфраструктуры и контейнерных сред Kubernetes. Атака начинается с внедрения вредоносного ПО через поддельные приложения, после чего злоумышленники используют доверенные сессии для перехода в облачные ресурсы.
Для закрепления позиций атакующие модифицируют конфигурации развертывания Kubernetes, заставляя новые контейнеры выполнять вредоносные команды. Изменения в ресурсах систем непрерывной интеграции и доставки (CI/CD) позволяют извлекать токены сервисных аккаунтов из логов. Кража привилегированных токенов обеспечивает эскалацию прав и доступ к финансовым системам, что в итоге приводит к хищению криптовалюты на миллионы долларов.
Исследования компании Mandiant выявили новые сценарии атак через цепочку поставок. Компрометация пакета в Node Package Manager запускала вредоносный код, который извлекал данные окружения и токены аутентификации с рабочей станции разработчика. Укрывшийся токен доступа к GitHub открывал путь к репозиториям исходного кода. Злоумышленники использовали доверенные отношения между GitHub и облачной платформой (OpenID Connect) для получения временных учетных данных. Чрезмерно широкие права доступа позволяли развертывать новую инфраструктуру, создавать административные привилегии и наносить ущерб производственным системам.
Особую тревогу вызывает использование больших языковых моделей (LLM) злоумышленниками. В ходе расследования было установлено, что вредоносное ПО использовало ИИ-инструмент для идентификации файлов интереса на скомпрометированном устройстве. Это подтверждает, что искусственный интеллект становится мощным помощником в разведке окружения и поиске учетных данных.
Таблица ниже иллюстрирует ключевые изменения в методах атак и их последствиях:
| Категория угрозы | Доминирующий метод (2025 г.) | Ключевая особенность | Последствия для бизнеса |
|---|---|---|---|
| Первичный доступ | Уязвимости стороннего ПО | Эксплуатация в течение 48 часов после публикации | Необходимость мгновенного патчинга и мониторинга зависимостей |
| Компрометация идентичности | Голосовой фишинг и кража токенов | Обход MFA через социальную инженерию | Потеря контроля над доверенными сессиями без входа |
| Внутренние угрозы | Использование личных облаков | Переход от email к облачным хранилищам | Усложнение отслеживания утечек данных за пределы периметра |
| Цепочка поставок | Компрометация пакетов и CI/CD | Использование доверенных интеграций (GitHub-Cloud) | Масштабный доступ к производственным системам через разработку |
Для минимизации рисков организациям необходимо перейти к архитектуре нулевого доверия, ограничивая радиус воздействия любой потенциальной атаки. Системы должны работать с минимально необходимыми привилегиями, а процессы управления инцидентами требуют постоянной автоматизации. Простое добавление защитных слоев поверх существующей инфраструктуры больше не работает; безопасность должна быть встроена в стандартные практики разработки и эксплуатации.
Давление на скорость выпуска программного обеспечения сохраняется, что делает автоматизацию контроля изменений критически важной задачей. Организации обязаны выявлять слабости, потенциальные маршруты атак и действия злоумышленников в реальном времени. Понимание масштаба трансформации угроз недостаточно для эффективной защиты.
Ключевой вопрос — как выстроить защиту в новых реалиях, где скорость атаки определяется алгоритмами ИИ, а уязвимости эксплуатируются за считанные часы. Разбор конкретных стратегий и механизмов адаптации — в аналитической части материала.
Когда код становится дверью: новые правила выживания бизнеса
Отчет Google Cloud Threat Horizons Report H1 2026 фиксирует фундаментальный сдвиг в парадигме кибербезопасности. Угроза перестала исходить от хакеров, подбирающих пароли, и сместилась в плоскость качества программного кода и доверенных цепочек поставок. Злоумышленники атакуют не через «замочную скважину» слабого логина, а через фундамент здания — уязвимости в стороннем программном обеспечении. Скорость реакции преступников сократилась до критических 48 часов после публикации информации об ошибке. Окно безопасности для бизнеса сузилось до размеров рабочего дня. Пока специалисты читают уведомление об обновлении, автоматизированные скрипты уже развернули майнеры криптовалюты XMRig или захватили контроль над облачной инфраструктурой.
Такая динамика меняет экономику безопасности. Бюджеты, направленные на усложнение паролей и обучение сотрудников, перестают приносить ожидаемую отдачу. Реальные инвестиции требуются на автоматизацию мониторинга зависимостей и мгновенное обновление библиотек кода. Компании, полагающиеся на ручные процессы проверки обновлений, фактически оставляют свои системы открытыми для атак в течение первых двух суток после выхода информации об уязвимости.
Важный нюанс: Безопасность перестает быть функцией ИТ-департамента и становится вопросом качества управления поставками программного обеспечения, где задержка в обновлении на сутки превращается в прямую финансовую потерю.
Цена доверия к чужому коду и инфраструктуре
Современные технологические платформы строятся как конструкторы из тысяч сторонних компонентов. Это создает иллюзию эффективности: бизнес получает готовые функции без необходимости писать код с нуля. Однако за этой моделью скрывается скрытый риск — полная зависимость от безопасности разработчиков этих библиотек. Злоумышленники используют искусственный интеллект для автоматического сканирования открытого исходного кода, находя слабые места быстрее, чем это могут сделать команды безопасности корпораций.
Ситуация усугубляется тем, что защита периметра больше не ограничивается проверкой подлинности пользователя. Критическим фактором становится состояние программного стека. Если в цепочке поставок оказывается один скомпрометированный пакет, злоумышленники получают доступ ко всей инфраструктуре. Исследования компании Mandiant выявили паттерн атак, где компрометация пакета в Node Package Manager запускала вредоносный код, извлекавший токены аутентификации с рабочей станции разработчика. Укрывшийся токен доступа к GitHub открывал путь к репозиториям исходного кода. Злоумышленники использовали доверенные отношения между GitHub и облачной платформой для получения временных учетных данных, что позволяло развертывать новую инфраструктуру и наносить ущерб производственным системам.
Этот механизм работает по принципу «доверенного посредника». Система видит входящий запрос от легитимного сервиса разработки и пропускает его, не зная, что за этим сервисом стоят злоумышленники. Кража токенов аутентификации из логов систем непрерывной интеграции (CI/CD) позволяет им действовать от имени доверенных аккаунтов. Для бизнеса это означает, что инвестиции в защиту границ сети теряют смысл, если не контролируется каждый компонент кода, входящий в состав продукта.
Особую тревогу вызывают уязвимости в базовых компонентах контейнеризации. Недавно обнаруженные критические дыры в компоненте runC, отвечающем за работу с контейнерами Docker, позволяют злоумышленникам выйти из изолированной среды и получить доступ к хост-системе [!]. Эти уязвимости связаны с механизмами монтирования и обходом проверок доступа, что делает угрозу актуальной для систем, где контейнеры используются в критически важных процессах. Факт выхода из изоляции подтверждает, что даже современные методы сегментации перестают быть надежным щитом без постоянного аудита конфигураций.
Человеческий фактор и новые векторы атак
Несмотря на технологизацию угроз, человек остается самым уязвимым звеном, но методы воздействия на него изменились. Голосовой фишинг выходит на первый план: атакующие имитируют сотрудников или представителей службы поддержки, заставляя жертву сбросить пароль или изменить настройки многофакторной аутентификации. Полученный доступ внутри системы выглядит полностью легитимным.
Внутренние угрозы трансформируются под влиянием миграции в облако. Кража данных перестала быть связана исключительно с отправкой файлов по электронной почте. Сотрудники все чаще используют личные облачные хранилища и платформо-независимые сервисы для выгрузки информации, что усложняет отслеживание утечек за пределы корпоративного периметра.
Однако наиболее масштабный рост атак фиксируется в области компрометации токенов доступа. Количество подозрительных действий на платформе Salesforce увеличилось в 20 раз в первом квартале 2025 года по сравнению с концом предыдущего периода, пострадали такие компании, как Google, Coca-Cola и Allianz [!]. Злоумышленники используют OAuth-токены, полученные через обычные авторизационные потоки, чтобы получить законный доступ к данным. Пользователь может быть обманут на одобрение поддельного подключения приложения, что позволяет атакующему использовать токен как легитимный. Такой метод позволяет обойти двухфакторную аутентификацию и не требует взлома паролей. Атакующие имитируют поведение пользователей, чтобы избежать подозрений.
Государственные группы, демонстрируют высокий уровень технической подготовки. Их кампании строятся на переходе от компрометации рабочих станций разработчиков к захвату контейнерных сред Kubernetes. Модификация конфигураций развертывания заставляет новые контейнеры выполнять вредоносные команды, что обеспечивает долгосрочное присутствие в системе. Кража привилегированных токенов обеспечивает эскалацию прав и доступ к финансовым системам, что в итоге приводит к хищению криптовалюты на миллионы долларов.
Стоит учесть: Автоматизация атак и использование ИИ преступниками создают ситуацию, где скорость защиты бизнеса должна превышать скорость разработки вредоносного ПО, что требует полной перестройки процессов DevOps и внедрения архитектуры нулевого доверия.
ИИ как новый интерфейс для атакующих
Особую тревогу вызывает двойственная роль искусственного интеллекта в современных конфликтах. Если ранее ИИ использовался преимущественно для поиска уязвимостей, то теперь он становится самостоятельным вектором проникновения.
Ситуация усугубляется появлением уязвимостей в AI-браузерах, таких как Comet. Атака через OAuth в этих браузерах позволяет злоумышленникам обойти защиту и получить полный доступ к корпоративным аккаунтам, включая почту и Google Drive пользователя [!]. Манипуляции с интерфейсом браузера маскируют вредоносные действия как часть рабочего процесса. Эксперты отмечают, что существующие средства безопасности, например EDR и SASE/SSE, не способны отличить запросы пользователя от действий AI-браузера, что усложняет обнаружение атак [!]. Проблема усиливается ростом популярности AI-браузеров, занимающих значительную долю рынка через продукты вроде Chrome и Edge.
ИИ больше не просто ускоряет поиск дыр, он стал новым интерфейсом для атакующих, который маскируется под легитимного пользователя. Это делает традиционные средства защиты слепыми перед лицом агентов, действующих от имени доверенных сервисов.
На фоне этого: Конкурентное преимущество смещается с функциональности продукта на его устойчивость к атакам, где способность мгновенно обновлять зависимости и контролировать сессии становится таким же важным активом, как и сам код приложения.
Стратегический ответ на ускорение угроз
Для выживания в новых условиях бизнесу необходимо отказаться от стратегии «защиты периметра» и перейти к архитектуре нулевого доверия. Этот подход предполагает, что любая атака возможна, и системы должны работать с минимально необходимыми привилегиями. Простое добавление защитных слоев поверх существующей инфраструктуры больше не работает; безопасность должна быть встроена в стандартные практики разработки и эксплуатации на этапе написания кода.
Ключевым становится управление жизненным циклом приложений и оперативность устранения уязвимостей. Организации обязаны выявлять слабости и потенциальные маршруты атак в реальном времени. Давление на скорость выпуска программного обеспечения сохраняется, поэтому автоматизация контроля изменений является критически важной задачей. Без нее компания не сможет конкурировать с алгоритмами злоумышленников, которые эксплуатируют ошибки за считанные часы.
Важно внедрять специализированные решения для защиты новых векторов. Например, технологии Browser Detection and Response (BDR) позволяют разделять агентные и пользовательские идентификаторы, обеспечивая контроль доступа к данным даже при использовании AI-браузеров [!]. Это позволяет восстановить видимость действий, которые ранее оставались скрытыми от систем безопасности.
Рынок будет отсекать тех, кто не сможет обеспечить скорость реакции на угрозы, сопоставимую со скоростью их возникновения. Безопасность теперь — это не набор инструментов, а непрерывный процесс адаптации к меняющимся условиям эксплуатации программного стека и идентификации.
Источник: helpnetsecurity.com
