Door AI ontwikkelde 2FA-exploit
Onderzoekers op het gebied van cyberbeveiliging hebben een voorheen onbekende dader ontdekt die gebruikmaakt van een zero-day-exploit die vermoedelijk met behulp van kunstmatige intelligentie is ontwikkeld. Dit is het eerste gedocumenteerde geval van actief gebruik van AI in daadwerkelijke kwaadaardige operaties voor het opsporen van kwetsbaarheden en het genereren van exploits.
Onderzoekers schrijven de campagne toe aan gecoördineerde cybercriminele groepen die kennelijk hebben samengewerkt aan een grootschalige exploitatie van beveiligingslekken. Analyse van de bijbehorende aanvalsketen bracht een zero-day-kwetsbaarheid aan het licht, ingebed in een Python-script dat in staat is om de tweefactorauthenticatie (2FA) te omzeilen in een veelgebruikt open-source, webgebaseerd systeembeheerplatform.
Hoewel er geen direct bewijs is dat Google's Gemini AI-tool aan de operatie koppelt, concludeerden onderzoekers met grote zekerheid dat een AI-model een belangrijke rol speelde bij het ontdekken en misbruiken van de kwetsbaarheid. De Python-code vertoonde meerdere kenmerken die doorgaans geassocieerd worden met output gegenereerd door grote taalmodellen (LLM's), waaronder een sterk gestructureerde opmaak, uitgebreide educatieve docstrings, gedetailleerde helpmenu's en een nette implementatie van ANSI-kleuren. Het script bevatte ook een verzonnen CVSS-score, een veelvoorkomend voorbeeld van AI-hallucinatie.
Inhoudsopgave
Hoe de 2FA-bypass-exploit werkte
De geïdentificeerde kwetsbaarheid vereiste legitieme gebruikersgegevens om succesvol te functioneren. Onderzoekers stelden vast dat de fout voortkwam uit een semantische logicazwakte, veroorzaakt door een vastgelegde vertrouwensveronderstelling in het authenticatieproces van de applicatie. Dergelijke complexe logicafouten vallen steeds vaker binnen de analysemogelijkheden van moderne LLM-systemen.
Beveiligingsexperts waarschuwen dat AI elke fase van de cyberaanvalcyclus aanzienlijk versnelt, van het ontdekken van kwetsbaarheden tot het valideren van exploits en de operationele inzet. Het toenemende gebruik van AI door cybercriminelen vermindert de tijd en moeite die nodig is om zwakke punten te identificeren en aanvallen uit te voeren, waardoor verdedigers onder steeds grotere druk komen te staan.
AI breidt het malware- en exploitatielandschap uit.
Kunstmatige intelligentie wordt niet langer alleen gebruikt voor onderzoek naar kwetsbaarheden. Kwaadwillenden gebruiken AI nu om polymorfe malware te ontwikkelen, kwaadaardige acties te automatiseren en aanvalsfunctionaliteit te verbergen. Een opvallend voorbeeld is PromptSpy, een Android-malwarevariant die misbruik maakt van Gemini om schermactiviteit te analyseren en instructies te geven waardoor de malware bovenaan de lijst met recente apps blijft staan.
Onderzoekers hebben ook verschillende spraakmakende gevallen gedocumenteerd waarbij Gemini betrokken was bij kwaadaardige activiteiten:
De vermoedelijk aan China gelieerde cyberespionagegroep UNC2814 zou gebruik hebben gemaakt van op gebruikersnamen gebaseerde jailbreak-prompts om Gemini te dwingen de rol van netwerkbeveiligingsexpert aan te nemen. Het doel was om onderzoek naar kwetsbaarheden in embedded systemen te ondersteunen, waaronder TP-Link-firmware en Odette File Transfer Protocol (OFTP)-implementaties.
De Noord-Koreaanse dreigingsactor APT45 zou duizenden recursieve prompts hebben verstuurd die bedoeld waren om CVE's te analyseren en proof-of-concept exploits te valideren.
De Chinese hackergroep APT27 zou Gemini hebben gebruikt om de ontwikkeling van een applicatie voor wagenparkbeheer te versnellen, die waarschijnlijk bedoeld is om een infrastructuur van operationele relaiskasten (ORB's) te beheren.
Bij door Rusland gesteunde inbraakoperaties gericht op Oekraïense organisaties werden AI-ondersteunde malwarefamilies ingezet, bekend als CANFAIL en LONGSTREAM. Beide varianten bevatten door LLM gegenereerde lokcode om kwaadaardig gedrag te maskeren.
Inzetbare trainingsdata en autonome AI-operaties
Er is bovendien geconstateerd dat cybercriminelen experimenteren met een gespecialiseerde GitHub-repository genaamd 'wooyun-legacy', ontworpen als een plugin voor de Claude-codevaardigheid. De repository bevat meer dan 5.000 praktijkvoorbeelden van kwetsbaarheden die oorspronkelijk tussen 2010 en 2016 zijn verzameld door het Chinese platform voor het melden van kwetsbaarheden WooYun.
Door deze dataset aan AI-systemen te voeden, kunnen aanvallers contextueel leren mogelijk maken, waardoor modellen worden getraind om broncodeanalyse uit te voeren met de precisie van ervaren beveiligingsonderzoekers. Dit verbetert het vermogen van de AI aanzienlijk om subtiele logische fouten te identificeren die standaardmodellen mogelijk over het hoofd zien.
Onderzoekers hebben ook onthuld dat een vermoedelijke aan China gelieerde cybercrimineel AI-tools zoals Hexstrike AI en Strix heeft ingezet tijdens aanvallen op een Japans technologiebedrijf en een belangrijk Oost-Aziatisch cybersecurityplatform. Deze tools zouden geautomatiseerde verkennings- en ontdekkingsoperaties met minimale menselijke tussenkomst mogelijk hebben gemaakt.
De toenemende veiligheidsrisico’s van offensieve AI
De bevindingen onderstrepen een grote verschuiving in het cyberdreigingslandschap. AI ontwikkelt zich snel van een productiviteitstool tot een krachtversterker voor offensieve cyberoperaties. Van het ontdekken van zero-day kwetsbaarheden tot het automatiseren van malware-implementatie en het verbeteren van operationele stealth: kunstmatige intelligentie verandert fundamenteel de manier waarop cyberaanvallen worden gepland en uitgevoerd.
Naarmate de door AI aangedreven cybermogelijkheden zich verder ontwikkelen, zien organisaties een toekomst tegemoet waarin aanvallen sneller, adaptiever en steeds moeilijker te detecteren zijn voordat er schade wordt aangericht.
