Tekoälyn kehittämä 2FA-hyökkäys
Kyberturvallisuustutkijat ovat paljastaneet aiemmin tunnistamattoman uhkatoimijan, joka hyödyntää tekoälyn avulla kehitettyä nollapäivähaavoittuvuutta. Tämä on ensimmäinen dokumentoitu tapaus, jossa tekoälyä on käytetty aktiivisesti tosielämän haitallisissa toimissa haavoittuvuuksien löytämiseen ja hyödyntämiseen.
Tutkijat pitävät kampanjaa koordinoitujen kyberrikollisryhmien tekeminä, jotka näyttävät tehneen yhteistyötä laajamittaisessa haavoittuvuuksien hyödyntämishankkeessa. Hyökkäysketjun analyysi paljasti nollapäivähaavoittuvuuden, joka oli upotettu Python-skriptiin. Tämä haavoittuvuus kykeni ohittamaan kaksivaiheisen todennuksen (2FA) suojaukset laajalti käytetyssä avoimen lähdekoodin verkkopohjaisessa järjestelmänhallinta-alustassa.
Vaikka Googlen Gemini-tekoälytyökalun ja operaation välistä yhteyttä ei ole suoranaisesti todistettu, tutkijat päättelivät suurella varmuudella, että tekoälymallilla oli merkittävä rooli haavoittuvuuden löytämisessä ja aseena käyttämisessä. Python-koodissa oli useita ominaisuuksia, jotka yleisesti yhdistetään laajojen kielimallien (LLM) luomaan tuotokseen, mukaan lukien erittäin jäsennelty muotoilu, laajat opetusdokumentit, yksityiskohtaiset ohjevalikot ja puhdas ANSI-väritoteutus. Skripti sisälsi myös keinotekoisen CVSS-pistemäärän, joka on yleinen esimerkki tekoälyhallusinaatiosta.
Sisällysluettelo
Kuinka 2FA-ohitushyökkäys toimi
Tunnistettu haavoittuvuus edellytti laillisten käyttäjien tunnistetietoja toimiakseen oikein. Tutkijat määrittivät, että vika johtui semanttisesta logiikan heikkoudesta, joka johtui sovelluksen todennusprosessiin kiinteästi koodatusta luottamusoletuksesta. Tällaiset korkean tason logiikkavirheet ovat yhä enemmän nykyaikaisten LLM-järjestelmien analyyttisten ominaisuuksien piirissä.
Tietoturva-asiantuntijat varoittavat, että tekoäly kiihdyttää dramaattisesti kyberhyökkäyksen elinkaaren jokaista vaihetta haavoittuvuuksien löytämisestä hyödyntämisvalidointiin ja operatiiviseen käyttöönottoon. Tekoälyn kasvava käyttö uhkatoimijoiden keskuudessa vähentää heikkouksien tunnistamiseen ja hyökkäysten käynnistämiseen tarvittavaa aikaa ja vaivaa, mikä asettaa puolustajat kasvavan paineen alle.
Tekoäly laajentaa haittaohjelmien ja hyväksikäytön maisemaa
Tekoäly ei enää rajoitu haavoittuvuustutkimuksen avustamiseen. Uhkatoimijat käyttävät nyt tekoälyä polymorfisten haittaohjelmien rakentamiseen, haitallisten toimintojen automatisointiin ja hyökkäystoimintojen peittämiseen. Yksi merkittävä esimerkki on PromptSpy, Android-haittaohjelmamuoto, joka hyödyntää Geminiä analysoidakseen näytön toimintaa ja antaakseen ohjeita, jotka auttavat haittaohjelmaa pysymään kiinni viimeisimpien sovellusten luettelossa.
Tutkijat ovat myös dokumentoineet useita korkean profiilin tapauksia, joissa Gemini-avusteinen haitallinen toiminta on liittynyt:
Epäilty Kiinaan kytköksissä oleva kybervakoiluryhmä UNC2814 käytti kertoman mukaan persoonapohjaisia jailbreak-kehotteita pakottaakseen Geminin ottamaan verkkoturvallisuusasiantuntijan roolin. Tavoitteena oli tukea haavoittuvuustutkimusta, joka kohdistui sulautettuihin laitteisiin, mukaan lukien TP-Linkin laiteohjelmisto ja Odette File Transfer Protocol (OFTP) -toteutukset.
Pohjois-korealaisen uhkatoimijan APT45 väitetään lähettäneen tuhansia rekursiivisia kehotteita, joiden tarkoituksena on analysoida CVE-hyökkäyksiä ja validoida konseptitodistushyökkäyksiä.
Kiinalaisen hakkeriryhmän APT27:n kerrotaan käyttäneen Geminiä nopeuttaakseen kalustonhallintasovelluksen kehitystä, jonka tarkoituksena on todennäköisesti hallita operatiivista relekeskusinfrastruktuuria (ORB).
Venäjä-kytköksissä ukrainalaisiin organisaatioihin kohdistuneissa tunkeutumisoperaatioissa käytettiin tekoälyllä ohjattuja haittaohjelmaperheitä, jotka tunnetaan nimillä CANFAIL ja LONGSTREAM. Molemmat sisälsivät LLM:n luomaa harhautuskoodia haitallisen toiminnan peittämiseksi.
Aseistettu koulutusdata ja autonomiset tekoälyoperaatiot
Uhkatoimijoiden on lisäksi havaittu kokeilevan erikoistunutta GitHub-arkistoa nimeltä 'wooyun-legacy', joka on suunniteltu Clauden kooditaitolaajennukseksi. Arkisto sisältää yli 5 000 tosielämän haavoittuvuustapausta, jotka kiinalainen haavoittuvuuksien paljastamisalusta WooYun on alun perin kerännyt vuosina 2010-2016.
Syöttämällä tämän tietojoukon tekoälyjärjestelmiin hyökkääjät voivat mahdollistaa kontekstissa tapahtuvan oppimisen, joka kouluttaa malleja analysoimaan lähdekoodia kokeneiden tietoturvatutkijoiden tarkkuudella. Tämä parantaa merkittävästi tekoälyn kykyä tunnistaa hienovaraisia logiikkavirheitä, jotka standardimallit saattavat jättää huomiotta.
Tutkijat paljastivat myös, että epäilty Kiinan kanssa liittoutunut uhkatoimija käytti tekoälytyökaluja, kuten Hexstrike AI:ta ja Strixiä, hyökkäyksissä japanilaista teknologiayritystä ja merkittävää itäaasialaista kyberturvallisuusalustaa vastaan. Näiden työkalujen kerrotaan mahdollistavan automatisoidut tiedustelu- ja löytöoperaatiot minimaalisella ihmisen puuttumisella.
Hyökkäävän tekoälyn kasvavat turvallisuusvaikutukset
Tulokset korostavat merkittävää muutosta kyberuhkakentässä. Tekoäly kehittyy nopeasti tuottavuustyökalusta hyökkäävien kyberoperaatioiden voimakertoimeksi. Nollapäivähaavoittuvuuksien löytämisestä haittaohjelmien käyttöönoton automatisointiin ja operatiivisen häivetoiminnan parantamiseen tekoäly muuttaa perusteellisesti kyberhyökkäysten suunnittelua ja toteutusta.
Tekoälyn ohjaamien kyberominaisuuksien kehittyessä organisaatiot kohtaavat tulevaisuuden, jossa hyökkäyksistä tulee nopeampia, sopeutumiskykyisempiä ja yhä vaikeampia havaita ennen vahinkojen tapahtumista.
