Угон IP-адрес стає все більш популярною формою кібератак. Це робиться за цілою низкою причин: від розсилки спаму і шкідливих програм до крадіжки криптовалюти і даних банківських карт. За деякими оцінками тільки в 2017 році подібні інциденти торкнулися більше 10% всіх доменів в світі. Постраждали навіть великі гравці на кшталт Amazon і Google. Що вже говорити про більш дрібні компанії.
Захисні заходи щодо запобігання перехоплень IP-адрес зазвичай робляться вже тоді, коли атака здійснена. Але що, якщо ці події можна було б передбачити і згодом відстежити зловмисників? Керуючись цією тезою, команда фахівців проаналізувала способи, якими користувалися «серійні зломщики» і натренувала свою нейросеть обчислювати підозрілу активність. У підсумку вона змогла ідентифікувати приблизно 800 підозрілих мереж і виявила, що деякі з них систематично захоплювали IP-адреси протягом багатьох років.
“Для передачі даних між різними шлюзами використовується динамічний протокол маршрутизації (BGP). Однак у нього є два головні недоліки: відсутна аутентифікація і базова верифікація джерела. Це робить його доступним для хакерськіх атак. Надавши ШІ-алгоритму дані про вчинені в минулому атаки, ми навчали модель штучного інтелекту ідентифікувати ключові характеристики роботи хакеров. Такі, як, наприклад, множинні блокування IP-адрес”, – каже провідний автор роботи Сесілія Тестарт.
Трохи пояснимо, як працюють хакери. І як взагалі відбувається захоплення IP-адрес. При захопленні BGP зловмисник, грубо кажучи, «переконує» довколишні мережі, що кращий шлях для досягнення певної IP-адреси – через їх хакерську мережу. Пропускаючи через свою мережу ці дані, хакери можуть перехоплювати і перенаправляти трафік в своїх цілях.
Щоб краще визначити тактику атак, група вчених спочатку витягла дані по роботі мережевих операторів за останні кілька років. Виходячи з цього, вони змогли вивести кореляцію між зломом адрес і сплесками інтернет-активностей хакерів. Після цього залишалося лише «згодувати» ці дані системі машинного навчання і «натаскати» ШІ.
Робота команди вчених – це перший крок у створенні автоматичної системи запобігання кіберзлочинам. В майбутньому алгоритм буде лише вдосконалюватися. Повний звіт про виконану роботу і демонстрацію функціонуючого ШІ з пошуку хакерів вчені планують представити вже в цьому жовтні на Міжнародній IT-конференції в Амстердамі. Трохи пізніше вони також обіцяють викласти на портал GitHub список виявлених ними підозрілих мереж.
Джерело: portaltele.com.ua
