Експлоатация на 2FA, разработена от изкуствен интелект
Изследователи по киберсигурност разкриха досега неидентифициран злонамерен персонаж, използващ zero-day експлойт, за който се смята, че е разработен с помощта на изкуствен интелект. Това е първият документиран случай на активно използване на изкуствен интелект в реални злонамерени операции за откриване на уязвимости и генериране на експлойти.
Разследващите приписват кампанията на координирани киберпрестъпни групи, които изглежда са си сътрудничили в мащабна инициатива за експлоатация на уязвимости. Анализът на свързаната верига от атаки разкри уязвимост от типа „нулев ден“, вградена в Python скрипт, способен да заобикаля защитите с двуфакторно удостоверяване (2FA) в широко използвана уеб-базирана платформа за системно администриране с отворен код.
Въпреки че няма преки доказателства, които да свързват инструмента Gemini AI на Google с операцията, изследователите заключиха с висока степен на увереност, че модел на изкуствен интелект е изиграл значителна роля в откриването и използването на недостатъка като оръжие. Кодът на Python показва множество характеристики, обикновено свързани с генериран от големи езикови модели (LLM) изход, включително силно структурирано форматиране, обширни образователни документационни низове, подробни помощни менюта и чиста ANSI цветова имплементация. Скриптът съдържаше и измислен CVSS резултат, често срещан пример за халюцинации, свързани с изкуствен интелект.
Съдържание
Как работеше експлойтът за заобикаляне на 2FA
Идентифицираната уязвимост изискваше легитимни потребителски идентификационни данни, за да функционира успешно. Изследователите установиха, че недостатъкът произлиза от слабост в семантичната логика, причинена от твърдо кодирано предположение за доверие в процеса на удостоверяване на приложението. Такива логически недостатъци на високо ниво са все по-често в рамките на аналитичните възможности на съвременните LLM системи.
Експертите по сигурност предупреждават, че изкуственият интелект (ИИ) драстично ускорява всеки етап от жизнения цикъл на кибератаката, от откриването на уязвимости до валидирането на експлойтите и оперативното им внедряване. Нарастващото използване на ИИ от злонамерените лица намалява времето и усилията, необходими за идентифициране на слабости и стартиране на атаки, което поставя защитниците под нарастващ натиск.
Изкуственият интелект разширява пейзажа на зловредния софтуер и експлоатацията му
Изкуственият интелект вече не се ограничава само до подпомагане на изследванията на уязвимости. Злонамерените лица вече използват изкуствен интелект, за да създават полиморфен зловреден софтуер, да автоматизират злонамерени операции и да прикриват функционалността за атака. Един забележителен пример е PromptSpy, щам на зловреден софтуер за Android, който злоупотребява с Gemini, за да анализира активността на екрана и да издава инструкции, които помагат на зловредния софтуер да остане заключен в списъка с скорошни приложения.
Изследователите са документирали и няколко нашумели случая, включващи злонамерена активност, подпомагана от Gemini:
Според съобщенията, предполагаемата свързана с Китай група за кибершпионаж UNC2814 е използвала джейлбрейк подкани, базирани на персони, за да принуди Gemini да поеме ролята на експерт по мрежова сигурност. Целта е била да се подпомогнат изследвания на уязвимости, насочени към вградени устройства, включително фърмуер на TP-Link и имплементации на Odette File Transfer Protocol (OFTP).
Твърди се, че севернокорейският хакер APT45 е издал хиляди рекурсивни команди, предназначени да анализират CVE и да валидират експлойти, доказващи концепцията.
Според съобщенията, китайската хакерска група APT27 е използвала Gemini, за да ускори разработването на приложение за управление на автопарка, вероятно предназначено за управление на инфраструктура на оперативна релейна кутия (ORB).
Свързани с Русия операции за проникване, насочени към украински организации, използваха семейства зловреден софтуер, подпомогнати от изкуствен интелект, известни като CANFAIL и LONGSTREAM, като и двете включваха генериран от LLM код за примамка, за да прикрият злонамерено поведение.
Данни за обучение с въоръжение и автономни операции с изкуствен интелект
Освен това са наблюдавани злонамерени лица, експериментиращи със специализирано хранилище на GitHub, наречено „wooyun-legacy“, проектирано като плъгин за кодиране на Claude. Хранилището съдържа повече от 5000 случая на уязвимости от реалния свят, първоначално събрани от китайската платформа за разкриване на уязвимости WooYun между 2010 и 2016 г.
Чрез подаване на този набор от данни в системи с изкуствен интелект, нападателите могат да активират контекстно обучение, което обучава моделите да подхождат към анализа на изходния код с прецизността на опитни изследователи по сигурността. Това значително подобрява способността на изкуствения интелект да идентифицира фини логически недостатъци, които стандартните модели биха могли да пренебрегнат.
Изследователи също така разкриха, че предполагаем свързан с Китай хакер е използвал инструменти с изкуствен интелект, като Hexstrike AI и Strix, по време на атаки срещу японска технологична компания и голяма източноазиатска платформа за киберсигурност. Според съобщенията, тези инструменти са позволили автоматизирани операции по разузнаване и откриване с минимална човешка намеса.
Нарастващите последици за сигурността от офанзивния изкуствен интелект
Констатациите подчертават голяма промяна в пейзажа на киберзаплахите. Изкуственият интелект бързо се развива от инструмент за производителност в умножител на силата за офанзивни кибероперации. От откриването на уязвимости тип „нулев ден“ до автоматизирането на внедряването на зловреден софтуер и подобряването на оперативната скритост, изкуственият интелект коренно променя начина, по който се планират и изпълняват кибератаките.
С развитието на киберсигурността, основана на изкуствен интелект, организациите са изправени пред бъдеще, в което атаките стават по-бързи, по-адаптивни и все по-трудни за откриване, преди да настъпят щети.
