Iskorištavanje 2FA razvijeno umjetnom inteligencijom
Istraživači kibernetičke sigurnosti otkrili su prethodno neidentificiranog akter prijetnje koji koristi zero-day exploit za koji se vjeruje da je razvijen uz pomoć umjetne inteligencije. Ovo označava prvi dokumentirani slučaj aktivne upotrebe umjetne inteligencije u stvarnim zlonamjernim operacijama za otkrivanje ranjivosti i generiranje exploita.
Istražitelji pripisuju kampanju koordiniranim skupinama kibernetičkog kriminala koje su, čini se, surađivale na inicijativi iskorištavanja ranjivosti velikih razmjera. Analiza povezanog lanca napada otkrila je zero-day ranjivost ugrađenu u Python skriptu sposobnu zaobići zaštitu dvofaktorske autentifikacije (2FA) u široko korištenoj platformi za web administraciju sustava otvorenog koda.
Iako ne postoje izravni dokazi koji povezuju Googleov alat za umjetnu inteligenciju Gemini s operacijom, istraživači su s visokom sigurnošću zaključili da je model umjetne inteligencije odigrao značajnu ulogu u otkrivanju i iskorištavanju propusta. Python kod pokazao je više karakteristika koje se obično povezuju s izlazom generiranim modelom velikih jezičnih jezika (LLM), uključujući visoko strukturirano formatiranje, opsežne obrazovne dokumentacijske nizove, detaljne izbornike pomoći i čistu implementaciju ANSI boja. Skripta je također sadržavala izmišljeni CVSS rezultat, čest primjer halucinacije umjetne inteligencije.
Sadržaj
Kako je funkcionirao 2FA Bypass Exploit
Identificirana ranjivost zahtijevala je legitimne korisničke vjerodajnice za uspješno funkcioniranje. Istraživači su utvrdili da je nedostatak nastao zbog slabosti semantičke logike uzrokovane tvrdo kodiranom pretpostavkom povjerenja unutar procesa autentifikacije aplikacije. Takvi logički nedostaci visoke razine sve su više unutar analitičkih mogućnosti modernih LLM sustava.
Sigurnosni stručnjaci upozoravaju da umjetna inteligencija dramatično ubrzava svaku fazu životnog ciklusa kibernetičkog napada, od otkrivanja ranjivosti do validacije iskorištavanja i operativnog raspoređivanja. Sve veća upotreba umjetne inteligencije od strane aktera prijetnji smanjuje vrijeme i trud potreban za prepoznavanje slabosti i pokretanje napada, stavljajući branitelje pod sve veći pritisak.
Umjetna inteligencija proširuje područje zlonamjernog softvera i iskorištavanja
Umjetna inteligencija više nije ograničena samo na pomoć u istraživanju ranjivosti. Akteri prijetnji sada koriste umjetnu inteligenciju za izgradnju polimorfnog zlonamjernog softvera, automatizaciju zlonamjernih operacija i prikrivanje funkcionalnosti napada. Jedan značajan primjer je PromptSpy, soj zlonamjernog softvera za Android koji zloupotrebljava Gemini za analizu aktivnosti na zaslonu i izdavanje uputa koje pomažu zlonamjernom softveru da ostane pričvršćen na popis nedavnih aplikacija.
Istraživači su također dokumentirali nekoliko poznatih slučajeva koji uključuju zlonamjerne aktivnosti potpomognute Geminijem:
Sumnjiva skupina za kibernetičku špijunažu UNC2814 povezana s Kinom navodno je koristila upute za jailbreaking temeljene na personama kako bi prisilila Gemini da preuzme ulogu stručnjaka za mrežnu sigurnost. Cilj je bio podržati istraživanje ranjivosti usmjereno na ugrađene uređaje, uključujući TP-Link firmware i implementacije Odette File Transfer Protocol (OFTP).
Sjevernokorejski akter prijetnji APT45 navodno je izdao tisuće rekurzivnih promptova osmišljenih za analizu CVE-a i validaciju proof-of-concept exploita.
Kineska hakerska grupa APT27 navodno je koristila Gemini kako bi ubrzala razvoj aplikacije za upravljanje voznim parkom, vjerojatno namijenjene upravljanju infrastrukturom operativnog relejnog uređaja (ORB).
Operacije upada povezane s Rusijom usmjerene na ukrajinske organizacije koristile su obitelji zlonamjernog softvera potpomognute umjetnom inteligencijom poznate kao CANFAIL i LONGSTREAM, koje su obje uključivale lažni kod generiran LLM-om kako bi prikrile zlonamjerno ponašanje.
Podaci o obuci s oružjem i autonomne operacije umjetne inteligencije
Dodatno je uočeno da akteri prijetnji eksperimentiraju sa specijaliziranim GitHub repozitorijem pod nazivom 'wooyun-legacy', dizajniranim kao dodatak za Claudeov kod. Repozitorij sadrži više od 5000 slučajeva ranjivosti iz stvarnog svijeta koje je izvorno prikupila kineska platforma za otkrivanje ranjivosti WooYun između 2010. i 2016. godine.
Unošenjem ovog skupa podataka u AI sustave, napadači mogu omogućiti učenje u kontekstu koje obučava modele da pristupe analizi izvornog koda s preciznošću iskusnih sigurnosnih istraživača. To značajno poboljšava sposobnost AI-a da identificira suptilne logičke nedostatke koje standardni modeli mogu previdjeti.
Istraživači su također otkrili da je osumnjičeni akter prijetnje povezan s Kinom koristio agentske alate umjetne inteligencije poput Hexstrike AI i Strix tijekom napada na japansku tehnološku tvrtku i glavnu istočnoazijsku platformu za kibernetičku sigurnost. Navodno su ovi alati omogućili automatizirano izviđanje i otkrivanje uz minimalnu ljudsku intervenciju.
Rastuće sigurnosne implikacije ofenzivne umjetne inteligencije
Nalazi naglašavaju veliku promjenu u krajoliku kibernetičkih prijetnji. Umjetna inteligencija se brzo razvija od alata za produktivnost do multiplikatora snage za ofenzivne kibernetičke operacije. Od otkrivanja zero-day ranjivosti do automatizacije implementacije zlonamjernog softvera i poboljšanja operativne prikrivenosti, umjetna inteligencija temeljno mijenja način planiranja i izvršavanja kibernetičkih napada.
Kako kibernetičke mogućnosti utemeljene na umjetnoj inteligenciji nastavljaju sazrijevati, organizacije se suočavaju s budućnošću u kojoj napadi postaju brži, prilagodljiviji i sve teže ih je otkriti prije nego što nastane šteta.
