Mākslīgā intelekta izstrādāta 2FA izmantošana
Kiberdrošības pētnieki ir atklājuši iepriekš neidentificētu apdraudējuma dalībnieku, kas izmanto nulles dienas ievainojamību, kas, domājams, ir izstrādāta ar mākslīgā intelekta palīdzību. Šis ir pirmais dokumentētais gadījums, kad mākslīgais intelekts tiek aktīvi izmantots reālās pasaules ļaunprātīgās operācijās ievainojamību atklāšanai un ievainojamību ģenerēšanai.
Izmeklētāji kampaņu piedēvē koordinētām kibernoziedznieku grupām, kas, šķiet, ir sadarbojušās plaša mēroga ievainojamību izmantošanas iniciatīvā. Saistītās uzbrukumu ķēdes analīze atklāja nulles dienas ievainojamību, kas iestrādāta Python skriptā, kas spēj apiet divfaktoru autentifikācijas (2FA) aizsardzību plaši izmantotā atvērtā pirmkoda tīmekļa sistēmu administrēšanas platformā.
Lai gan nav tiešu pierādījumu, kas saista Google Gemini mākslīgā intelekta rīku ar šo operāciju, pētnieki ar lielu pārliecību secināja, ka mākslīgā intelekta modelim bija nozīmīga loma trūkuma atklāšanā un pārveidošanā par ieroci. Python kodā bija vairākas īpašības, kas parasti saistītas ar lielu valodas modeļu (LLM) ģenerētu izvadi, tostarp ļoti strukturēts formatējums, plašas izglītojošas dokumentācijas virknes, detalizētas palīdzības izvēlnes un tīra ANSI krāsu ieviešana. Skriptā bija arī safabricēts CVSS vērtējums, kas ir izplatīts mākslīgā intelekta halucināciju piemērs.
Satura rādītājs
Kā darbojās 2FA apvedceļa izmantošana
Identificētās ievainojamības veiksmīgai darbībai bija nepieciešami likumīgi lietotāja akreditācijas dati. Pētnieki noteica, ka trūkums radies semantiskās loģikas vājuma dēļ, ko izraisa stingri iekodēts uzticamības pieņēmums lietojumprogrammas autentifikācijas procesā. Šādi augsta līmeņa loģikas trūkumi arvien vairāk ietilpst mūsdienu tiesību zinātņu maģistra (LLM) sistēmu analītiskajās spējās.
Drošības eksperti brīdina, ka mākslīgais intelekts ievērojami paātrina katru kiberuzbrukumu dzīves cikla posmu, sākot no ievainojamību atklāšanas līdz izmantošanas validācijai un operatīvai ieviešanai. Arvien pieaugošā mākslīgā intelekta izmantošana no apdraudējumu dalībnieku puses samazina laiku un pūles, kas nepieciešamas, lai identificētu vājās vietas un veiktu uzbrukumus, tādējādi radot arvien lielāku spiedienu uz aizstāvjiem.
Mākslīgais intelekts paplašina ļaunprogrammatūras un ekspluatācijas ainavu
Mākslīgais intelekts vairs neaprobežojas tikai ar ievainojamību izpētes palīdzību. Draudu izpildītāji tagad izmanto mākslīgo intelektu, lai veidotu polimorfu ļaunprogrammatūru, automatizētu ļaunprātīgas darbības un slēptu uzbrukumu funkcionalitāti. Viens ievērojams piemērs ir PromptSpy — Android ļaunprogrammatūras paveids, kas izmanto Gemini, lai analizētu ekrāna aktivitātes un izdotu instrukcijas, kas palīdz ļaunprogrammatūrai palikt piesaistītai nesen izmantoto lietojumprogrammu sarakstam.
Pētnieki ir dokumentējuši arī vairākus augsta līmeņa gadījumus, kas saistīti ar Gemini atbalstītu ļaunprātīgu darbību:
Ar Ķīnu saistītā kiberspiegošanas grupa UNC2814, iespējams, izmantoja uz personu balstītas jailbreaking uzvednes, lai piespiestu Gemini uzņemties tīkla drošības eksperta lomu. Mērķis bija atbalstīt ievainojamību pētījumus, kas vērsti pret iegultajām ierīcēm, tostarp TP-Link programmaparatūru un Odette failu pārsūtīšanas protokola (OFTP) ieviešanu.
Ziemeļkorejas draudu izpildītājs APT45, domājams, izdeva tūkstošiem rekursīvu uzvedņu, kas paredzētas CVE analīzei un koncepcijas pierādījuma izmantošanas veidu validēšanai.
Ķīnas hakeru grupa APT27, kā ziņots, izmantoja Gemini, lai paātrinātu autoparka pārvaldības lietojumprogrammas izstrādi, kas, visticamāk, paredzēta operatīvās releja kastes (ORB) infrastruktūras pārvaldībai.
Ar Krieviju saistītās ielaušanās operācijas, kas bija vērstas pret Ukrainas organizācijām, izmantoja mākslīgā intelekta atbalstītas ļaunprogrammatūru saimes, kas pazīstamas kā CANFAIL un LONGSTREAM, un abas ietvēra LLM ģenerētu mānekļa kodu, lai maskētu ļaunprātīgu rīcību.
Ieroču apmācības dati un autonomas mākslīgā intelekta darbības
Ir novērots arī, ka apdraudējumu izpildītāji eksperimentē ar specializētu GitHub repozitoriju ar nosaukumu “wooyun-legacy”, kas izstrādāts kā Claude koda prasmju spraudnis. Repozitorijā ir vairāk nekā 5000 reālu ievainojamību gadījumu, ko sākotnēji apkopoja Ķīnas ievainojamību atklāšanas platforma WooYun laikā no 2010. līdz 2016. gadam.
Ievadot šo datu kopu mākslīgā intelekta sistēmās, uzbrucēji var iespējot konteksta mācīšanos, kas apmāca modeļus veikt pirmkoda analīzi ar pieredzējušu drošības pētnieku precizitāti. Tas ievērojami uzlabo mākslīgā intelekta spēju identificēt smalkas loģikas kļūdas, kuras standarta modeļi varētu nepamanīt.
Pētnieki arī atklāja, ka aizdomas par ar Ķīnu saistītu apdraudējumu dalībnieku uzbrukumu laikā Japānas tehnoloģiju uzņēmumam un lielai Austrumāzijas kiberdrošības platformai tika izmantoti tādi mākslīgā intelekta rīki kā Hexstrike AI un Strix. Tiek ziņots, ka šie rīki ļāva automatizētas izlūkošanas un atklāšanas operācijas ar minimālu cilvēka iejaukšanos.
Obsesīvā mākslīgā intelekta pieaugošās drošības sekas
Šie atklājumi uzsver būtiskas pārmaiņas kiberdraudu ainavā. Mākslīgais intelekts strauji attīstās no produktivitātes rīka par spēka reizinātāju uzbrukuma kiberoperācijām. Sākot ar nulles dienas ievainojamību atklāšanu un beidzot ar ļaunprogrammatūras izvietošanas automatizāciju un operatīvās slepenības uzlabošanu, mākslīgais intelekts fundamentāli maina kiberuzbrukumu plānošanas un izpildes veidu.
Tā kā mākslīgā intelekta vadītās kiberspējas turpina attīstīties, organizācijas saskaras ar nākotni, kurā uzbrukumi kļūst ātrāki, pielāgojamāki un arvien grūtāk atklājami, pirms rodas bojājumi.
