AI-Developed 2FA Exploit
Küberturvalisuse uurijad on paljastanud seni tuvastamata ohutegija, kes kasutab ära nullpäeva rünnakut, mis arvatavasti on välja töötatud tehisintellekti abil. See on esimene dokumenteeritud juhtum, kus tehisintellekti on aktiivselt kasutatud reaalsetes pahatahtlikes operatsioonides haavatavuste avastamiseks ja ärakasutamiseks.
Uurijad omistavad kampaania koordineeritud küberkurjategijate rühmitustele, kes näivad olevat teinud koostööd ulatuslikus haavatavuste ärakasutamise algatuses. Seotud rünnakuahela analüüs paljastas nullpäeva haavatavuse, mis oli manustatud Pythoni skripti, mis suutis mööda minna kahefaktorilisest autentimisest (2FA) laialdaselt kasutatavas avatud lähtekoodiga veebipõhises süsteemihaldusplatvormis.
Kuigi Google'i Gemini tehisintellekti tööriista ja operatsiooni vahel pole otseseid seoseid, jõudsid teadlased suure kindlusega järeldusele, et tehisintellekti mudelil oli vea avastamisel ja relvaks muutmisel oluline roll. Pythoni koodil oli mitu omadust, mida tavaliselt seostatakse suure keelemudeli (LLM) abil genereeritud väljundiga, sealhulgas väga struktureeritud vorming, ulatuslikud hariduslikud dokumentatsioonid, detailsed abimenüüd ja puhas ANSI värvide rakendamine. Skript sisaldas ka väljamõeldud CVSS-skoori, mis on tehisintellekti hallutsinatsioonide tavaline näide.
Sisukord
Kuidas 2FA möödaviigu ärakasutamine toimis
Tuvastatud haavatavus nõudis edukaks toimimiseks kehtivate kasutajatunnuste olemasolu. Teadlased tegid kindlaks, et viga tekkis semantilise loogika nõrkusest, mille põhjustas rakenduse autentimisprotsessis kõvakodeeritud usalduseeldus. Sellised kõrgetasemelised loogikavead on üha enam tänapäevaste õigusteaduslike süsteemide analüütiliste võimaluste piires.
Turvaeksperdid hoiatavad, et tehisintellekt kiirendab märkimisväärselt küberrünnaku elutsükli iga etappi, alates haavatavuste avastamisest kuni ärakasutamise valideerimise ja operatiivse juurutamiseni. Tehisintellekti kasvav kasutamine ohutegelaste poolt vähendab nõrkuste tuvastamiseks ja rünnakute käivitamiseks kuluvat aega ja vaeva, pannes kaitsjad üha suurema surve alla.
Tehisintellekt laiendab pahavara ja ärakasutamise maastikku
Tehisintellekt ei piirdu enam ainult haavatavuste uurimise abistamisega. Ohutegurid kasutavad nüüd tehisintellekti polümorfse pahavara loomiseks, pahatahtlike toimingute automatiseerimiseks ja rünnakufunktsioonide varjamiseks. Üks tähelepanuväärne näide on PromptSpy, Androidi pahavara tüvi, mis kuritarvitab Geminit ekraanil kuvatava tegevuse analüüsimiseks ja juhiste andmiseks, mis aitavad pahavaral hiljutiste rakenduste loendis püsida.
Teadlased on dokumenteerinud ka mitu kõrgetasemelist juhtumit, mis on seotud Kaksikute abistatava pahatahtliku tegevusega:
Väidetavalt kasutas Hiinaga seotud küberspionaažirühmitus UNC2814 Gemini võrguturbeeksperdi rolli sundimiseks personapõhiseid jailbreakimisülesandeid. Eesmärk oli toetada haavatavuste uurimist, mis oli suunatud manussüsteemidele, sealhulgas TP-Linki püsivarale ja Odette'i failiedastusprotokolli (OFTP) rakendustele.
Põhja-Korea ohunäitleja APT45 väljastas väidetavalt tuhandeid rekursiivseid käske, mis olid loodud CVE-de analüüsimiseks ja kontseptsioonitõestuse ärakasutamise valideerimiseks.
Hiina häkkerirühm APT27 kasutas väidetavalt Geminit autopargi haldusrakenduse arendamise kiirendamiseks, mis tõenäoliselt oli mõeldud operatiivse releekasti (ORB) infrastruktuuri haldamiseks.
Venemaaga seotud sissetungioperatsioonid, mis olid suunatud Ukraina organisatsioonide vastu, kasutasid tehisintellekti abil loodud pahavaraperekondi, mida tuntakse nimede CANFAIL ja LONGSTREAM all, mis mõlemad sisaldasid pahatahtliku käitumise varjamiseks LLM-i loodud peibutuskoodi.
Relvastatud treeningandmed ja autonoomsed tehisintellekti operatsioonid
Lisaks on täheldatud, et ohutegijad katsetavad spetsiaalset GitHubi repositooriumi nimega „wooyun-legacy“, mis on loodud Claude'i koodioskuste pluginana. Repositoorium sisaldab enam kui 5000 reaalse maailma haavatavuse juhtumit, mille Hiina haavatavuste avalikustamise platvorm WooYun kogus algselt aastatel 2010–2016.
Selle andmestiku tehisintellekti süsteemidesse sisestades saavad ründajad lubada kontekstipõhist õppimist, mis treenib mudeleid lähtekoodi analüüsimiseks kogenud turvauurijate täpsusega. See parandab oluliselt tehisintellekti võimet tuvastada peeneid loogikavigasid, mida standardmudelid võivad kahe silma vahele jätta.
Teadlased paljastasid ka, et arvatav Hiinaga seotud ohutegija kasutas Jaapani tehnoloogiaettevõtte ja suure Ida-Aasia küberturvalisuse platvormi vastu suunatud rünnakute ajal agentide tehisintellekti tööriistu, nagu Hexstrike AI ja Strix. Need tööriistad võimaldasid väidetavalt automatiseeritud luure- ja avastamisoperatsioone minimaalse inimsekkumisega.
Ründava tehisintellekti kasvavad turvamõjud
Need tulemused rõhutavad küberohtude maastikul toimuvat olulist muutust. Tehisintellekt areneb kiiresti produktiivsuse tööriistast ründavate küberoperatsioonide jõukordajaks. Alates nullpäeva haavatavuste avastamisest kuni pahavara juurutamise automatiseerimise ja operatiivse varjatuse parandamiseni muudab tehisintellekt põhjalikult küberrünnakute planeerimist ja elluviimist.
Kuna tehisintellektil põhinevad kübervõimekused arenevad pidevalt, seisavad organisatsioonid silmitsi tulevikuga, kus rünnakud muutuvad kiiremaks, kohanemisvõimelisemaks ja neid on enne kahju tekkimist üha raskem tuvastada.
