Exploit 2FA desenvolupat per IA
Investigadors de ciberseguretat han descobert un actor d'amenaces no identificat prèviament que aprofitava un exploit de dia zero que es creu que s'havia desenvolupat amb l'ajuda de la intel·ligència artificial. Aquest és el primer cas documentat d'ús actiu de la IA en operacions malicioses del món real per al descobriment de vulnerabilitats i la generació d'explotacions.
Els investigadors atribueixen la campanya a grups ciberdelinqüents coordinats que semblen haver col·laborat en una iniciativa d'explotació de vulnerabilitats a gran escala. L'anàlisi de la cadena d'atac associada va revelar una vulnerabilitat de dia zero integrada en un script de Python capaç d'eludir les proteccions d'autenticació de dos factors (2FA) en una plataforma d'administració de sistemes basada en web i de codi obert àmpliament utilitzada.
Tot i que no hi ha proves directes que vinculin l'eina d'IA Gemini de Google amb l'operació, els investigadors van concloure amb molta confiança que un model d'IA va tenir un paper important en el descobriment i la utilització de la falla com a arma. El codi Python mostrava múltiples característiques que s'associen habitualment amb la sortida generada per un model de llenguatge gran (LLM), com ara un format altament estructurat, extenses docstrings educatives, menús d'ajuda detallats i una implementació de color ANSI neta. L'script també contenia una puntuació CVSS fabricada, un exemple comú d'al·lucinació d'IA.
Taula de continguts
Com funcionava l’exploit de bypass 2FA
La vulnerabilitat identificada requeria credencials d'usuari legítimes per funcionar correctament. Els investigadors van determinar que la falla s'originava a partir d'una debilitat lògica semàntica causada per una suposició de confiança codificada dins del procés d'autenticació de l'aplicació. Aquestes fallades lògiques d'alt nivell es troben cada cop més dins de les capacitats analítiques dels sistemes LLM moderns.
Els experts en seguretat alerten que la IA està accelerant dràsticament totes les etapes del cicle de vida del ciberatac, des del descobriment de vulnerabilitats fins a la validació d'explotacions i el desplegament operatiu. L'ús creixent de la IA per part dels actors d'amenaces està reduint el temps i l'esforç necessaris per identificar punts febles i llançar atacs, cosa que posa els defensors sota una pressió creixent.
La IA amplia el panorama del programari maliciós i l’explotació
La intel·ligència artificial ja no es limita a ajudar en la investigació de vulnerabilitats. Els actors amenaçadors ara utilitzen la IA per crear programari maliciós polimòrfic, automatitzar operacions malicioses i ocultar la funcionalitat d'atac. Un exemple notable és PromptSpy, una varietat de programari maliciós per a Android que abusa de Gemini per analitzar l'activitat en pantalla i emetre instruccions que ajuden al programari maliciós a mantenir-se fixat a la llista d'aplicacions recents.
Els investigadors també han documentat diversos casos d'alt perfil relacionats amb activitat maliciosa assistida per Gemini:
El presumpte grup d'espionatge cibernètic vinculat a la Xina UNC2814 presumptament va utilitzar indicacions de jailbreak basades en personalitats per obligar Gemini a assumir el paper d'expert en seguretat de xarxa. L'objectiu era donar suport a la investigació de vulnerabilitats dirigides a dispositius integrats, incloent-hi el firmware de TP-Link i les implementacions del protocol de transferència de fitxers Odette (OFTP).
L'actor d'amenaces nord-coreà APT45 presumptament va emetre milers de sol·licituds recursives dissenyades per analitzar CVE i validar exploits de prova de concepte.
Segons sembla, el grup de pirateria informàtica xinès APT27 va utilitzar Gemini per accelerar el desenvolupament d'una aplicació de gestió de flotes probablement destinada a gestionar una infraestructura de caixa de relés operacionals (ORB).
Les operacions d'intrusió vinculades a Rússia dirigides a organitzacions ucraïneses van desplegar famílies de programari maliciós assistides per IA conegudes com CANFAIL i LONGSTREAM, ambdues incorporant codi esquer generat per LLM per dissimular comportaments maliciosos.
Dades d’entrenament armades i operacions autònomes d’IA
A més, s'ha observat que actors amenaçadors experimenten amb un repositori especialitzat de GitHub anomenat "wooyun-legacy", dissenyat com un complement d'habilitats de codi de Claude. El repositori conté més de 5.000 casos de vulnerabilitat del món real recopilats originalment per la plataforma xinesa de divulgació de vulnerabilitats WooYun entre el 2010 i el 2016.
En introduir aquest conjunt de dades en sistemes d'IA, els atacants poden habilitar l'aprenentatge en context que entrena els models per abordar l'anàlisi del codi font amb la precisió d'investigadors de seguretat experimentats. Això millora significativament la capacitat de la IA per identificar defectes lògics subtils que els models estàndard podrien passar per alt.
Els investigadors també van revelar que un presumpte actor d'amenaces alineat amb la Xina va desplegar eines d'IA agents com ara Hexstrike AI i Strix durant atacs contra una empresa tecnològica japonesa i una important plataforma de ciberseguretat de l'Àsia Oriental. Segons sembla, aquestes eines van permetre operacions de reconeixement i descobriment automatitzades amb una mínima intervenció humana.
Les creixents implicacions de seguretat de la IA ofensiva
Les troballes subratllen un canvi important en el panorama de les amenaces cibernètiques. La IA està evolucionant ràpidament d'una eina de productivitat a un multiplicador de força per a operacions cibernètiques ofensives. Des del descobriment de vulnerabilitats de dia zero fins a l'automatització del desplegament de programari maliciós i la millora del sigil operatiu, la intel·ligència artificial està canviant fonamentalment la manera com es planifiquen i executen els ciberatacs.
A mesura que les capacitats cibernètiques impulsades per la IA continuen madurant, les organitzacions s'enfronten a un futur en què els atacs esdevindran més ràpids, més adaptatius i cada cop més difícils de detectar abans que es produeixin danys.
