Sfruttamento della vulnerabilità 2FA sviluppato dall'IA
Alcuni ricercatori nel campo della sicurezza informatica hanno scoperto un gruppo di hacker finora sconosciuto che sfrutta una vulnerabilità zero-day, presumibilmente sviluppata con l'ausilio dell'intelligenza artificiale. Questo rappresenta il primo caso documentato di utilizzo attivo dell'IA in operazioni malevole reali per la scoperta di vulnerabilità e la generazione di exploit.
Gli inquirenti attribuiscono la campagna a gruppi di criminali informatici coordinati che sembrano aver collaborato a un'iniziativa su larga scala per lo sfruttamento di una vulnerabilità. L'analisi della catena di attacco associata ha rivelato una vulnerabilità zero-day incorporata in uno script Python in grado di aggirare le protezioni dell'autenticazione a due fattori (2FA) in una piattaforma di amministrazione di sistemi open source basata sul web ampiamente utilizzata.
Sebbene non vi siano prove dirette che colleghino lo strumento di intelligenza artificiale Gemini di Google all'operazione, i ricercatori hanno concluso con elevata certezza che un modello di IA abbia svolto un ruolo significativo nella scoperta e nello sfruttamento della vulnerabilità. Il codice Python presentava diverse caratteristiche comunemente associate all'output generato da modelli linguistici di grandi dimensioni (LLM), tra cui una formattazione altamente strutturata, ampie docstring didattiche, menu di aiuto dettagliati e una chiara implementazione dei colori ANSI. Lo script conteneva anche un punteggio CVSS falsificato, un esempio comune di allucinazione da parte dell'IA.
Sommario
Come funzionava l’exploit per aggirare l’autenticazione a due fattori
La vulnerabilità identificata richiedeva credenziali utente legittime per funzionare correttamente. I ricercatori hanno determinato che il difetto derivava da una debolezza nella logica semantica causata da un presupposto di fiducia codificato in modo rigido all'interno del processo di autenticazione dell'applicazione. Tali difetti logici di alto livello sono sempre più spesso rilevabili dai moderni sistemi LLM.
Gli esperti di sicurezza avvertono che l'intelligenza artificiale sta accelerando drasticamente ogni fase del ciclo di vita di un attacco informatico, dalla scoperta delle vulnerabilità alla convalida degli exploit e all'implementazione operativa. Il crescente utilizzo dell'IA da parte degli autori delle minacce sta riducendo il tempo e lo sforzo necessari per identificare le debolezze e lanciare gli attacchi, mettendo i difensori sotto una pressione sempre maggiore.
L’intelligenza artificiale amplia il panorama dei malware e dello sfruttamento delle vulnerabilità.
L'intelligenza artificiale non si limita più ad assistere nella ricerca di vulnerabilità. Gli autori di minacce la utilizzano ora per creare malware polimorfici, automatizzare operazioni dannose e nascondere le funzionalità di attacco. Un esempio significativo è PromptSpy, una variante di malware per Android che sfrutta Gemini per analizzare l'attività sullo schermo ed emettere istruzioni che consentono al malware di rimanere bloccato nell'elenco delle applicazioni recenti.
I ricercatori hanno inoltre documentato diversi casi di alto profilo che coinvolgono attività dannose facilitate da Gemini:
Il gruppo di spionaggio informatico UNC2814, sospettato di essere legato alla Cina, avrebbe utilizzato procedure di jailbreaking basate su identità fittizie per costringere Gemini ad assumere il ruolo di esperto di sicurezza di rete. L'obiettivo era supportare la ricerca di vulnerabilità mirate a dispositivi embedded, tra cui il firmware TP-Link e le implementazioni del protocollo OFTP (Odette File Transfer Protocol).
Il gruppo di hacker nordcoreano APT45 avrebbe emesso migliaia di richieste ricorsive progettate per analizzare le vulnerabilità CVE e convalidare exploit proof-of-concept.
Secondo alcune fonti, il gruppo di hacker cinese APT27 avrebbe utilizzato Gemini per accelerare lo sviluppo di un'applicazione di gestione della flotta, probabilmente destinata alla gestione di un'infrastruttura di centrali di inoltro operative (ORB).
Le operazioni di intrusione legate alla Russia e dirette contro organizzazioni ucraine hanno utilizzato famiglie di malware basate sull'intelligenza artificiale note come CANFAIL e LONGSTREAM, entrambe dotate di codice esca generato da LLM per mascherare il comportamento dannoso.
Dati di addestramento utilizzati a fini bellici e operazioni autonome di intelligenza artificiale
È stato inoltre osservato che gli autori delle minacce stavano sperimentando un repository GitHub specializzato denominato "wooyun-legacy", progettato come plugin per Claude Code Skill. Il repository contiene oltre 5.000 casi di vulnerabilità reali, originariamente raccolti dalla piattaforma cinese di divulgazione delle vulnerabilità WooYun tra il 2010 e il 2016.
Alimentando i sistemi di intelligenza artificiale con questo set di dati, gli aggressori possono abilitare l'apprendimento contestuale, addestrando i modelli ad affrontare l'analisi del codice sorgente con la precisione di ricercatori di sicurezza esperti. Ciò migliora significativamente la capacità dell'IA di identificare sottili falle logiche che i modelli standard potrebbero trascurare.
I ricercatori hanno inoltre rivelato che un presunto attore malevolo allineato alla Cina ha utilizzato strumenti di intelligenza artificiale come Hexstrike AI e Strix durante attacchi contro un'azienda tecnologica giapponese e un'importante piattaforma di sicurezza informatica dell'Asia orientale. Secondo quanto riferito, questi strumenti hanno consentito operazioni automatizzate di ricognizione e individuazione con un intervento umano minimo.
Le crescenti implicazioni per la sicurezza dell’IA offensiva
I risultati evidenziano un cambiamento epocale nel panorama delle minacce informatiche. L'intelligenza artificiale si sta rapidamente evolvendo da strumento di produttività a moltiplicatore di forza per le operazioni informatiche offensive. Dalla scoperta di vulnerabilità zero-day all'automazione della diffusione di malware e al miglioramento della furtività operativa, l'intelligenza artificiale sta cambiando radicalmente il modo in cui gli attacchi informatici vengono pianificati ed eseguiti.
Con il continuo sviluppo delle capacità informatiche basate sull'intelligenza artificiale, le organizzazioni si trovano ad affrontare un futuro in cui gli attacchi diventeranno più rapidi, più adattabili e sempre più difficili da rilevare prima che causino danni.
