ניצול 2FA שפותח על ידי בינה מלאכותית
חוקרי אבטחת סייבר חשפו גורם איום לא מזוהה בעבר, המנצל פרצת יום אפס (zero-day exploit) שנחשבת כפותחת בסיוע בינה מלאכותית. זהו המקרה המתועד הראשון של שימוש פעיל בבינה מלאכותית בפעולות זדוניות בעולם האמיתי לגילוי פגיעויות ויצירת פרצות.
חוקרים מייחסים את הקמפיין לקבוצות פושעי סייבר מתואמות, שנראה כי שיתפו פעולה ביוזמה רחבת היקף לניצול פגיעויות. ניתוח שרשרת ההתקפה הקשורה גילה פגיעות של יום אפס המוטמעת בתוך סקריפט Python המסוגל לעקוף הגנות אימות דו-שלבי (2FA) בפלטפורמת ניהול מערכת מבוססת אינטרנט בקוד פתוח הנמצאת בשימוש נרחב.
למרות שאין ראיות ישירות המקשרות את כלי הבינה המלאכותית של גוגל, ג'מיני, החוקרים הגיעו למסקנה בביטחון רב שמודל בינה מלאכותית מילא תפקיד משמעותי בגילוי הפגם ובהפיכתו לנשק. קוד הפייתון הציג מאפיינים מרובים המקושרים בדרך כלל לפלט שנוצר על ידי מודל שפה גדול (LLM), כולל עיצוב מובנה מאוד, מחרוזות תיעוד חינוכיות נרחבות, תפריטי עזרה מפורטים ויישום צבע ANSI נקי. הסקריפט הכיל גם ציון CVSS מפוברק, דוגמה נפוצה להזיה של בינה מלאכותית.
תוכן העניינים
כיצד עבדה ניצול עקיפת 2FA
הפגיעות שזוהתה דרשה אישורי משתמש לגיטימיים כדי לתפקד בהצלחה. החוקרים קבעו כי הפגם נובע מחולשה לוגית סמנטית הנגרמת על ידי הנחת אמון מקודדת בתהליך האימות של היישום. פגמים לוגיים ברמה גבוהה כאלה הופכים יותר ויותר ליכולות הניתוח של מערכות LLM מודרניות.
מומחי אבטחה מזהירים כי בינה מלאכותית מאיצה באופן דרמטי כל שלב במחזור החיים של מתקפות סייבר, החל מגילוי פגיעויות ועד לאימות פרצות ופריסה מבצעית. השימוש הגובר בבינה מלאכותית על ידי גורמי איום מפחית את הזמן והמאמץ הנדרשים לזיהוי חולשות ולשיגור מתקפות, ומציב לחץ גובר על המגנים.
בינה מלאכותית מרחיבה את נוף התוכנות הזדוניות והניצול
בינה מלאכותית אינה מוגבלת עוד לסיוע במחקר פגיעויות. גורמי איום משתמשים כעת בבינה מלאכותית כדי לבנות תוכנות זדוניות רב-מורפיות, להפוך פעולות זדוניות לאוטומטיות ולהסתיר פונקציונליות של תקיפה. דוגמה בולטת אחת היא PromptSpy, זן תוכנה זדונית לאנדרואיד שמנצל לרעה את Gemini כדי לנתח פעילות על המסך ולהוציא הוראות המסייעות לתוכנה הזדונית להישאר מוצמדת לרשימת היישומים האחרונים.
חוקרים תיעדו גם מספר מקרים מתוקשרים הקשורים לפעילות זדונית בסיוע ג'מיני:
קבוצת הריגול הסייבר UNC2814, החשודה כקשורה לסין, השתמשה על פי הדיווחים בהנחיות פריצה מבוססות פרסונות כדי לאלץ את ג'מיני לקבל על עצמה את תפקיד מומחה אבטחת הרשת. המטרה הייתה לתמוך במחקר פגיעויות המכוון למכשירים משובצים, כולל קושחת TP-Link ויישומים של פרוטוקול העברת קבצים של Odette (OFTP).
גורם האיום הצפון קוריאני APT45 לכאורה הנפיק אלפי הנחיות רקורסיביות שנועדו לנתח CVEs ולאמת פרצות הוכחה להיתכנות.
קבוצת ההאקרים הסינית APT27, על פי הדיווחים, השתמשה ב-Gemini כדי להאיץ את פיתוחה של אפליקציית ניהול צי, שכנראה נועדה לנהל תשתית של תיבות ממסר מבצעיות (ORB).
פעולות חדירה הקשורות לרוסיה כנגד ארגונים אוקראינים פרסו משפחות של תוכנות זדוניות בסיוע בינה מלאכותית המכונות CANFAIL ו-LONGSTREAM, שתיהן שילבו קוד דמה שנוצר על ידי LLM כדי להסוות התנהגות זדונית.
נתוני אימון חמושים ופעולות בינה מלאכותית אוטונומיות
בנוסף, נצפו גורמי איום מתנסים במאגר GitHub ייעודי בשם 'wooyun-legacy', שתוכנן כתוסף מיומנויות קוד של Claude. המאגר מכיל יותר מ-5,000 מקרי פגיעות מהעולם האמיתי שנאספו במקור על ידי פלטפורמת גילוי הפגיעויות הסינית WooYun בין השנים 2010 ו-2016.
על ידי הזנת מערך נתונים זה למערכות בינה מלאכותית, תוקפים יכולים לאפשר למידה תוך-הקשרית (in-context) שמאמנת מודלים לגשת לניתוח קוד מקור בדיוק של חוקרי אבטחה מנוסים. זה משפר משמעותית את יכולתה של הבינה המלאכותית לזהות פגמים לוגיים עדינים שמודלים סטנדרטיים עלולים להתעלם מהם.
חוקרים חשפו גם כי גורם איום החשוד בקשר עם סין השתמש בכלי בינה מלאכותית כגון Hexstrike AI ו-Strix במהלך מתקפות נגד חברת טכנולוגיה יפנית ופלטפורמת אבטחת סייבר גדולה במזרח אסיה. כלים אלה, על פי הדיווחים, אפשרו פעולות סיור וגילוי אוטומטיות עם התערבות אנושית מינימלית.
ההשלכות הביטחוניות הגוברות של בינה מלאכותית התקפית
הממצאים מדגישים שינוי משמעותי בנוף איומי הסייבר. בינה מלאכותית מתפתחת במהירות מכלי פרודוקטיביות למכפיל כוח עבור פעולות סייבר התקפיות. החל מגילוי פגיעויות של יום אפס ועד אוטומציה של פריסת תוכנות זדוניות ושיפור חמקנות מבצעית, בינה מלאכותית משנה באופן מהותי את האופן שבו מתכננות ומבוצעות מתקפות סייבר.
ככל שיכולות סייבר המונעות על ידי בינה מלאכותית ממשיכות להתפתח, ארגונים ניצבים בפני עתיד שבו התקפות הופכות למהירות יותר, גמישות יותר וקשות יותר ויותר לזיהוי לפני שנגרם נזק.
