اکسپلویت احراز هویت دو مرحله‌ای توسعه‌یافته توسط هوش مصنوعی

محققان امنیت سایبری یک عامل تهدید که قبلاً ناشناخته بود را کشف کردند که از یک آسیب‌پذیری روز صفر استفاده می‌کرد و گمان می‌رود با کمک هوش مصنوعی توسعه داده شده باشد. این اولین مورد مستند از استفاده فعال هوش مصنوعی در عملیات مخرب دنیای واقعی برای کشف آسیب‌پذیری و تولید بهره‌برداری است.

محققان این کمپین را به گروه‌های هماهنگ مجرمان سایبری نسبت می‌دهند که به نظر می‌رسد در یک طرح بهره‌برداری از آسیب‌پذیری در مقیاس بزرگ با هم همکاری داشته‌اند. تجزیه و تحلیل زنجیره حمله مرتبط، یک آسیب‌پذیری روز صفر را نشان داد که در یک اسکریپت پایتون جاسازی شده بود و قادر به دور زدن محافظت‌های احراز هویت دو عاملی (2FA) در یک پلتفرم مدیریت سیستم مبتنی بر وب و متن‌باز بود که به طور گسترده استفاده می‌شود.

اگرچه هیچ مدرک مستقیمی ابزار هوش مصنوعی گوگل، Gemini، را به این عملیات مرتبط نمی‌کند، محققان با اطمینان بالا به این نتیجه رسیدند که یک مدل هوش مصنوعی نقش مهمی در کشف و استفاده از این نقص داشته است. کد پایتون چندین ویژگی را که معمولاً با خروجی تولید شده توسط مدل زبان بزرگ (LLM) مرتبط است، از جمله قالب‌بندی بسیار ساختاریافته، رشته‌های آموزشی گسترده، منوهای راهنمای دقیق و پیاده‌سازی رنگ ANSI تمیز، نشان می‌دهد. این اسکریپت همچنین حاوی یک امتیاز CVSS ساختگی است که نمونه‌ای رایج از توهم هوش مصنوعی است.

نحوه‌ی عملکرد اکسپلویت دور زدن احراز هویت دو مرحله‌ای

آسیب‌پذیری شناسایی‌شده برای عملکرد موفقیت‌آمیز به اعتبارنامه‌های کاربر قانونی نیاز داشت. محققان تشخیص دادند که این نقص از یک ضعف منطق معنایی ناشی از یک فرض اعتماد کدگذاری‌شده در فرآیند احراز هویت برنامه ناشی می‌شود. چنین نقص‌های منطقی سطح بالایی به طور فزاینده‌ای در محدوده قابلیت‌های تحلیلی سیستم‌های مدرن LLM قرار دارند.

کارشناسان امنیتی هشدار می‌دهند که هوش مصنوعی به طور چشمگیری هر مرحله از چرخه عمر حمله سایبری، از کشف آسیب‌پذیری گرفته تا اعتبارسنجی اکسپلویت و استقرار عملیاتی را تسریع می‌کند. استفاده روزافزون از هوش مصنوعی توسط مهاجمان، زمان و تلاش لازم برای شناسایی نقاط ضعف و انجام حملات را کاهش می‌دهد و مدافعان را تحت فشار فزاینده‌ای قرار می‌دهد.

هوش مصنوعی، چشم‌انداز بدافزارها و سوءاستفاده‌ها را گسترش می‌دهد

هوش مصنوعی دیگر محدود به کمک به تحقیقات آسیب‌پذیری نیست. عاملان تهدید اکنون از هوش مصنوعی برای ساخت بدافزارهای چندریختی، خودکارسازی عملیات مخرب و پنهان کردن قابلیت‌های حمله استفاده می‌کنند. یک نمونه قابل توجه PromptSpy است، یک گونه بدافزار اندرویدی که از Gemini برای تجزیه و تحلیل فعالیت‌های روی صفحه و صدور دستورالعمل‌هایی که به بدافزار کمک می‌کند تا در فهرست برنامه‌های اخیر پین شود، سوءاستفاده می‌کند.

محققان همچنین چندین مورد از فعالیت‌های مخرب با کمک Gemini را مستند کرده‌اند:

طبق گزارش‌ها، گروه جاسوسی سایبری UNC2814 که مظنون به ارتباط با چین است، از پیام‌های جیلبریک شخصی برای مجبور کردن Gemini به ایفای نقش یک متخصص امنیت شبکه استفاده کرده است. هدف، پشتیبانی از تحقیقات آسیب‌پذیری با هدف قرار دادن دستگاه‌های تعبیه‌شده، از جمله میان‌افزار TP-Link و پیاده‌سازی‌های پروتکل انتقال فایل Odette (OFTP) بود.

ظاهراً گروه هکری APT45 که از کره شمالی آمده، هزاران درخواست بازگشتی صادر کرده که برای تجزیه و تحلیل CVEها و اعتبارسنجی اکسپلویت‌های اثبات مفهوم طراحی شده‌اند.

طبق گزارش‌ها، گروه هکری چینی APT27 از Gemini برای تسریع توسعه یک برنامه مدیریت ناوگان استفاده کرده است که احتمالاً برای مدیریت زیرساخت جعبه رله عملیاتی (ORB) در نظر گرفته شده است.

عملیات نفوذ مرتبط با روسیه که سازمان‌های اوکراینی را هدف قرار می‌داد، از خانواده‌های بدافزار مبتنی بر هوش مصنوعی به نام‌های CANFAIL و LONGSTREAM استفاده کرد که هر دو از کد فریب تولید شده توسط LLM برای پنهان کردن رفتار مخرب استفاده می‌کردند.

داده‌های آموزشی تسلیحاتی و عملیات‌های هوش مصنوعی خودکار

علاوه بر این، مشاهده شده است که عاملان تهدید در حال آزمایش یک مخزن تخصصی GitHub به نام 'wooyun-legacy' هستند که به عنوان یک افزونه مهارت کد Claude طراحی شده است. این مخزن شامل بیش از ۵۰۰۰ مورد آسیب‌پذیری در دنیای واقعی است که در ابتدا توسط پلتفرم افشای آسیب‌پذیری چینی WooYun بین سال‌های ۲۰۱۰ تا ۲۰۱۶ جمع‌آوری شده است.

با وارد کردن این مجموعه داده‌ها به سیستم‌های هوش مصنوعی، مهاجمان می‌توانند یادگیری درون‌زمینه‌ای را فعال کنند که مدل‌ها را برای نزدیک شدن به تجزیه و تحلیل کد منبع با دقت محققان امنیتی باتجربه آموزش می‌دهد. این امر به طور قابل توجهی توانایی هوش مصنوعی را در شناسایی نقص‌های منطقی ظریفی که مدل‌های استاندارد ممکن است نادیده بگیرند، بهبود می‌بخشد.

محققان همچنین فاش کردند که یک عامل تهدید مظنون به همکاری با چین، در حملات علیه یک شرکت فناوری ژاپنی و یک پلتفرم بزرگ امنیت سایبری در شرق آسیا، از ابزارهای هوش مصنوعی عامل مانند Hexstrike AI و Strix استفاده کرده است. طبق گزارش‌ها، این ابزارها امکان عملیات شناسایی و کشف خودکار را با حداقل دخالت انسانی فراهم کرده‌اند.

پیامدهای امنیتی فزاینده هوش مصنوعی تهاجمی

این یافته‌ها نشان‌دهنده‌ی یک تغییر عمده در چشم‌انداز تهدیدات سایبری است. هوش مصنوعی به سرعت در حال تکامل از یک ابزار بهره‌وری به یک عامل تقویت‌کننده‌ی نیرو برای عملیات سایبری تهاجمی است. از کشف آسیب‌پذیری‌های روز صفر گرفته تا خودکارسازی استقرار بدافزار و افزایش مخفی‌کاری عملیاتی، هوش مصنوعی اساساً در حال تغییر نحوه‌ی برنامه‌ریزی و اجرای حملات سایبری است.

با رشد روزافزون قابلیت‌های سایبری مبتنی بر هوش مصنوعی، سازمان‌ها با آینده‌ای روبرو هستند که در آن حملات سریع‌تر، تطبیق‌پذیرتر و تشخیص آنها قبل از وقوع آسیب، به طور فزاینده‌ای دشوار می‌شود.