AI-utviklet 2FA-utnyttelse
Forskere innen nettsikkerhet har avdekket en tidligere uidentifisert trusselaktør som utnytter et nulldagsangrep som antas å være utviklet ved hjelp av kunstig intelligens. Dette markerer det første dokumenterte tilfellet av at kunstig intelligens aktivt brukes i ondsinnede operasjoner i den virkelige verden for å oppdage sårbarheter og generere angrep.
Etterforskere tilskriver kampanjen til koordinerte nettkriminelle grupper som ser ut til å ha samarbeidet om et storstilt initiativ for utnyttelse av sårbarheter. Analyse av den tilhørende angrepskjeden avdekket en nulldagssårbarhet innebygd i et Python-skript som er i stand til å omgå tofaktorautentisering (2FA) i en mye brukt åpen kildekode, nettbasert systemadministrasjonsplattform.
Selv om ingen direkte bevis knytter Googles Gemini AI-verktøy til operasjonen, konkluderte forskerne med høy sikkerhet med at en AI-modell spilte en betydelig rolle i å oppdage og bruke feilen som våpen. Python-koden viste flere egenskaper som vanligvis forbindes med utdata generert av store språkmodeller (LLM), inkludert svært strukturert formatering, omfattende pedagogiske dokumentstrenger, detaljerte hjelpemenyer og en ren ANSI-fargeimplementering. Skriptet inneholdt også en fabrikkert CVSS-poengsum, et vanlig eksempel på AI-hallusinasjoner.
Innholdsfortegnelse
Hvordan 2FA Bypass Exploit fungerte
Den identifiserte sårbarheten krevde legitim brukerlegitimasjon for å fungere ordentlig. Forskerne fant ut at feilen stammet fra en semantisk logisk svakhet forårsaket av en hardkodet tillitsantagelse i applikasjonens autentiseringsprosess. Slike logiske feil på høyt nivå er i økende grad innenfor de analytiske mulighetene til moderne LLM-systemer.
Sikkerhetseksperter advarer om at AI dramatisk akselererer alle trinn i cyberangreps livssyklus, fra oppdagelse av sårbarheter til validering av utnyttelser og operativ utplassering. Den økende bruken av AI av trusselaktører reduserer tiden og innsatsen som kreves for å identifisere svakheter og iverksette angrep, noe som setter forsvarere under økende press.
AI utvider landskapet for skadelig programvare og utnyttelse
Kunstig intelligens er ikke lenger begrenset til å bistå i sårbarhetsforskning. Trusselaktører bruker nå kunstig intelligens til å bygge polymorf skadevare, automatisere ondsinnede operasjoner og skjule angrepsfunksjonalitet. Et bemerkelsesverdig eksempel er PromptSpy, en Android-skadevarestamme som misbruker Gemini til å analysere aktivitet på skjermen og gi instruksjoner som hjelper den skadelige programvaren å forbli låst i listen over nylige applikasjoner.
Forskere har også dokumentert flere profilerte tilfeller som involverer Gemini-assistert ondsinnet aktivitet:
Den mistenkte Kina-tilknyttede cyberspionasjegruppen UNC2814 skal angivelig ha brukt personadrevne jailbreaking-prompter for å tvinge Gemini til å påta seg rollen som en nettverkssikkerhetsekspert. Målet var å støtte sårbarhetsforskning rettet mot innebygde enheter, inkludert TP-Link-firmware og Odette File Transfer Protocol (OFTP)-implementeringer.
Den nordkoreanske trusselaktøren APT45 skal angivelig ha utstedt tusenvis av rekursive ledetekster designet for å analysere CVE-er og validere konseptutnyttelser.
Den kinesiske hackergruppen APT27 skal ha brukt Gemini til å akselerere utviklingen av en flåtestyringsapplikasjon som sannsynligvis var ment å administrere en ORB-infrastruktur (operativ reléboks).
Russland-tilknyttede inntrengingsoperasjoner rettet mot ukrainske organisasjoner distribuerte AI-assisterte skadevarefamilier kjent som CANFAIL og LONGSTREAM, som begge innlemmet LLM-generert lokkekode for å skjule ondsinnet oppførsel.
Våpenbaserte treningsdata og autonome AI-operasjoner
Trusselaktører har i tillegg blitt observert mens de eksperimenterer med et spesialisert GitHub-arkiv kalt «wooyun-legacy», designet som en Claude-kodeferdighetsplugin. Arkivet inneholder mer enn 5000 virkelige sårbarhetssaker, opprinnelig samlet inn av den kinesiske plattformen for sårbarhetsavsløring WooYun mellom 2010 og 2016.
Ved å mate dette datasettet inn i AI-systemer, kan angripere muliggjøre kontekstbasert læring som trener modeller til å tilnærme seg kildekodeanalyse med presisjonen til erfarne sikkerhetsforskere. Dette forbedrer AI-ens evne til å identifisere subtile logiske feil som standardmodeller kan overse betydelig.
Forskere avslørte også at en mistenkt Kina-alliert trusselaktør brukte AI-verktøy som Hexstrike AI og Strix under angrep mot et japansk teknologiselskap og en stor østasiatisk cybersikkerhetsplattform. Disse verktøyene muliggjorde angivelig automatiserte rekognoserings- og oppdagelsesoperasjoner med minimal menneskelig inngripen.
De økende sikkerhetsmessige implikasjonene av offensiv AI
Funnene understreker et stort skifte i cybertrussellandskapet. KI utvikler seg raskt fra et produktivitetsverktøy til en kraftmultiplikator for offensive cyberoperasjoner. Fra å oppdage nulldagssårbarheter til å automatisere distribusjon av skadelig programvare og forbedre operasjonell stealth, endrer kunstig intelligens fundamentalt hvordan cyberangrep planlegges og utføres.
Etter hvert som AI-drevne cyberkapasiteter fortsetter å modnes, står organisasjoner overfor en fremtid der angrep blir raskere, mer tilpasningsdyktige og stadig vanskeligere å oppdage før skade oppstår.
