Slevová nabídka pro více licencí
Databáze hrozeb Zranitelnost Zneužití 2FA vyvinuté umělou inteligencí

Zneužití 2FA vyvinuté umělou inteligencí

V roce Mezo v roce Zranitelnost, Pokročilá trvalá hrozba (APT), Malware
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili dříve neidentifikovaného aktéra hrozby, který využívá zero-day exploit, o kterém se předpokládá, že byl vyvinut s pomocí umělé inteligence. Jedná se o první zdokumentovaný případ aktivního využití umělé inteligence v reálných škodlivých operacích k odhalování zranitelností a generování exploitů.

Vyšetřovatelé připisují kampaň koordinovaným skupinám kyberzločinců, které zřejmě spolupracovaly na rozsáhlé iniciativě zaměřené na zneužívání zranitelností. Analýza souvisejícího útočného řetězce odhalila zranitelnost typu „zero-day“ vloženou do skriptu v Pythonu, který je schopen obejít ochranu dvoufaktorovým ověřováním (2FA) v široce používané webové platformě pro správu systémů s otevřeným zdrojovým kódem.

Ačkoli žádný přímý důkaz nespojuje nástroj Google Gemini pro umělou inteligenci s touto operací, vědci s vysokou jistotou dospěli k závěru, že model umělé inteligence sehrál významnou roli při odhalení a využití chyby jako zbraně. Kód v Pythonu vykazoval řadu charakteristik běžně spojovaných s výstupem generovaným modelem velkých jazyků (LLM), včetně vysoce strukturovaného formátování, rozsáhlých vzdělávacích dokumentačních řetězců, podrobných nápověd a čisté implementace barev ANSI. Skript také obsahoval vykonstruované skóre CVSS, což je běžný příklad halucinací umělé inteligence.

Jak fungoval exploit 2FA Bypass

Identifikovaná zranitelnost vyžadovala pro úspěšné fungování legitimní přihlašovací údaje uživatelů. Výzkumníci zjistili, že chyba pochází ze slabosti sémantické logiky způsobené pevně zakódovaným předpokladem důvěryhodnosti v rámci procesu ověřování aplikace. Takové logické chyby na vysoké úrovni jsou stále častěji v rámci analytických možností moderních systémů LLM.

Bezpečnostní experti varují, že umělá inteligence dramaticky zrychluje každou fázi životního cyklu kybernetického útoku, od objevování zranitelností až po ověření zneužití a operační nasazení. Rostoucí využívání umělé inteligence aktéry hrozeb zkracuje čas a úsilí potřebné k identifikaci slabin a zahájení útoků, což vystavuje obránce stále většímu tlaku.

Umělá inteligence rozšiřuje možnosti malwaru a zneužívání

Umělá inteligence se již neomezuje pouze na pomoc s výzkumem zranitelností. Aktéři hrozby nyní používají umělou inteligenci k vytváření polymorfního malwaru, automatizaci škodlivých operací a skrývání funkcí útoku. Jedním z pozoruhodných příkladů je PromptSpy, kmen malwaru pro Android, který zneužívá Gemini k analýze aktivity na obrazovce a vydávání pokynů, které pomáhají malwaru zůstat v seznamu naposledy použitých aplikací.

Výzkumníci také zdokumentovali několik významných případů zahrnujících škodlivou aktivitu s pomocí Gemini:

Podezřelá skupina UNC2814, která se zabývá kybernetickou špionáží a je napojena na Čínu, údajně použila výzvy k jailbreaku s využitím persona, aby donutila Gemini převzít roli experta na síťovou bezpečnost. Cílem bylo podpořit výzkum zranitelností zaměřený na vestavěná zařízení, včetně firmwaru TP-Link a implementací protokolu Odette File Transfer Protocol (OFTP).

Severokorejský hackerský aktér APT45 údajně vydal tisíce rekurzivních příkazů určených k analýze CVE a ověření exploitů typu proof-of-concept.

Čínská hackerská skupina APT27 údajně použila Gemini k urychlení vývoje aplikace pro správu vozového parku, která je pravděpodobně určena pro správu infrastruktury operačních reléových boxů (ORB).

Ruské operace zaměřené na ukrajinské organizace využívaly malware s podporou umělé inteligence, známý jako CANFAIL a LONGSTREAM. Oba obsahovaly návnadový kód generovaný LLM k maskování škodlivého chování.

Data o výcviku využívající zbraně a autonomní operace s umělou inteligencí

Dále bylo pozorováno, že útočníci experimentují se specializovaným repozitářem GitHub s názvem „wooyun-legacy“, který je navržen jako plugin pro Claudeův kód. Repozitář obsahuje více než 5 000 reálných případů zranitelností, které původně shromáždila čínská platforma pro odhalování zranitelností WooYun v letech 2010 až 2016.

Vložením této datové sady do systémů umělé inteligence mohou útočníci umožnit kontextové učení, které učí modely přistupovat k analýze zdrojového kódu s přesností zkušených bezpečnostních výzkumníků. To výrazně zlepšuje schopnost umělé inteligence identifikovat jemné logické chyby, které by standardní modely mohly přehlédnout.

Výzkumníci také odhalili, že podezřelý hacker spojený s Čínou nasadil během útoků na japonskou technologickou společnost a významnou východoasijskou platformu kybernetické bezpečnosti nástroje s agentní umělou inteligencí, jako jsou Hexstrike AI a Strix. Tyto nástroje údajně umožňovaly automatizované průzkumné a objevovací operace s minimálním lidským zásahem.

Rostoucí bezpečnostní důsledky útočné umělé inteligence

Zjištění podtrhují zásadní posun v oblasti kybernetických hrozeb. Umělá inteligence se rychle vyvíjí z nástroje produktivity v multiplikátor síly pro útočné kybernetické operace. Od odhalování zranitelností typu zero-day až po automatizaci nasazování malwaru a zvyšování operační utajení, umělá inteligence zásadně mění způsob plánování a provádění kybernetických útoků.

S tím, jak se kybernetické schopnosti založené na umělé inteligenci dále rozvíjejí, čelí organizace budoucnosti, v níž se útoky stanou rychlejšími, adaptivnějšími a stále obtížněji odhalitelnými dříve, než dojde k poškození.

Trendy

Podvod s nerozpoznaným přihlašovacím e-mailem Robinhood

Phishing, Spam
Neočekávané e-maily, které tvrdí, že na účtu došlo k podezřelé aktivitě, by měly být vždy brány s opatrností. Kyberzločinci často maskují phishingové pokusy jako naléhavá bezpečnostní upozornění, aby donutili příjemce reagovat bez důkladného přemýšlení. Součástí tohoto rostoucího trendu jsou takzvané e-maily s „nerozpoznaným přihlášením Robinhood“. Tyto zprávy nejsou spojeny s žádnými...

Nejvíce shlédnuto

Načítání...