Exploit 2FA opracowany przez sztuczną inteligencję
Badacze cyberbezpieczeństwa odkryli nieznanego wcześniej sprawcę zagrożeń wykorzystującego lukę typu zero-day, prawdopodobnie stworzoną z pomocą sztucznej inteligencji. To pierwszy udokumentowany przypadek aktywnego wykorzystania sztucznej inteligencji w rzeczywistych złośliwych operacjach do wykrywania luk i generowania exploitów.
Śledczy przypisują tę kampanię skoordynowanym grupom cyberprzestępców, które najprawdopodobniej współpracowały w ramach szeroko zakrojonej inicjatywy wykorzystywania luk w zabezpieczeniach. Analiza powiązanego łańcucha ataków ujawniła lukę typu zero-day w skrypcie Pythona, która umożliwiała ominięcie zabezpieczeń uwierzytelniania dwuskładnikowego (2FA) w powszechnie używanej, internetowej platformie administracyjnej typu open source.
Chociaż brak bezpośrednich dowodów łączących narzędzie Google Gemini AI z operacją, badacze z dużym przekonaniem doszli do wniosku, że model sztucznej inteligencji odegrał znaczącą rolę w odkryciu i wykorzystaniu luki. Kod w Pythonie wykazywał wiele cech powszechnie kojarzonych z wynikami generowanymi przez LLM (Large Language Model), w tym wysoce ustrukturyzowane formatowanie, rozbudowaną dokumentację edukacyjną, szczegółowe menu pomocy oraz przejrzystą implementację kolorów ANSI. Skrypt zawierał również sfabrykowany wynik CVSS, co jest częstym przykładem halucynacji sztucznej inteligencji.
Spis treści
Jak działało ominięcie exploita 2FA
Zidentyfikowana luka wymagała do prawidłowego działania prawidłowych danych uwierzytelniających użytkownika. Badacze ustalili, że luka wynikała ze słabości logiki semantycznej, spowodowanej zakodowanym na stałe założeniem o zaufaniu w procesie uwierzytelniania aplikacji. Tego typu błędy logiczne wysokiego poziomu coraz częściej pojawiają się w obszarze możliwości analitycznych nowoczesnych systemów LLM.
Eksperci ds. bezpieczeństwa ostrzegają, że sztuczna inteligencja drastycznie przyspiesza każdy etap cyklu cyberataku, od wykrywania luk w zabezpieczeniach, przez walidację exploitów, po wdrożenie operacyjne. Rosnące wykorzystanie sztucznej inteligencji przez cyberprzestępców skraca czas i zmniejsza nakład pracy potrzebny do identyfikacji słabych punktów i przeprowadzania ataków, co stawia obrońców pod coraz większą presją.
Sztuczna inteligencja rozszerza obszar złośliwego oprogramowania i eksploatacji luk w zabezpieczeniach
Sztuczna inteligencja nie ogranicza się już wyłącznie do wspomagania badań nad lukami w zabezpieczeniach. Aktorzy zagrożeń wykorzystują teraz sztuczną inteligencję do tworzenia polimorficznego złośliwego oprogramowania, automatyzacji złośliwych operacji i ukrywania funkcjonalności ataków. Jednym z godnych uwagi przykładów jest PromptSpy, odmiana złośliwego oprogramowania na Androida, która wykorzystuje Gemini do analizowania aktywności na ekranie i wydawania instrukcji, które pomagają złośliwemu oprogramowaniu pozostać przypiętym do listy ostatnio używanych aplikacji.
Badacze udokumentowali również kilka głośnych przypadków, w których szkodliwa aktywność była wspomagana przez Gemini:
Podejrzewana o powiązania z Chinami grupa cybernetycznego szpiegostwa UNC2814 rzekomo wykorzystywała komunikaty jailbreakingowe oparte na personaliach, aby zmusić Gemini do przyjęcia roli eksperta ds. bezpieczeństwa sieci. Celem było wsparcie badań nad lukami w zabezpieczeniach urządzeń wbudowanych, w tym oprogramowania układowego TP-Link i implementacji protokołu OFTP (Odette File Transfer Protocol).
Północnokoreański cyberprzestępca APT45 rzekomo wydał tysiące rekurencyjnych monitów mających na celu analizę luk w zabezpieczeniach (CVE) i weryfikację exploitów typu proof-of-concept.
Chińska grupa hakerska APT27 rzekomo wykorzystała Gemini do przyspieszenia rozwoju aplikacji do zarządzania flotą, prawdopodobnie przeznaczonej do zarządzania infrastrukturą przekaźników operacyjnych (ORB).
W ramach operacji włamań powiązanych z Rosją, wymierzonych w organizacje ukraińskie, wdrożono wspomagane sztuczną inteligencją rodziny złośliwego oprogramowania znane jako CANFAIL i LONGSTREAM. Obie te grupy wykorzystywały wygenerowany przez LLM kod przynęty w celu zamaskowania złośliwego zachowania.
Dane szkoleniowe dotyczące uzbrojenia i autonomiczne operacje AI
Zaobserwowano również, że atakujący eksperymentują ze specjalistycznym repozytorium GitHub o nazwie „wooyun-legacy”, zaprojektowanym jako wtyczka do kodu Claude. Repozytorium zawiera ponad 5000 rzeczywistych przypadków luk w zabezpieczeniach, pierwotnie zebranych przez chińską platformę do ujawniania luk w zabezpieczeniach WooYun w latach 2010–2016.
Wprowadzając ten zbiór danych do systemów sztucznej inteligencji, atakujący mogą umożliwić uczenie się kontekstowe, które uczy modele analizy kodu źródłowego z precyzją doświadczonego analityka bezpieczeństwa. To znacznie poprawia zdolność sztucznej inteligencji do identyfikowania subtelnych błędów logicznych, które standardowe modele mogłyby przeoczyć.
Badacze ujawnili również, że podejrzany o współpracę z Chinami aktor cyberzagrożeń wdrożył narzędzia oparte na sztucznej inteligencji, takie jak Hexstrike AI i Strix, podczas ataków na japońską firmę technologiczną i dużą wschodnioazjatycką platformę cyberbezpieczeństwa. Narzędzia te podobno umożliwiały zautomatyzowane operacje rozpoznawcze i odkrywcze przy minimalnej ingerencji człowieka.
Rosnące implikacje bezpieczeństwa ofensywnej sztucznej inteligencji
Odkrycia podkreślają istotną zmianę w krajobrazie cyberzagrożeń. Sztuczna inteligencja szybko ewoluuje z narzędzia zwiększającego produktywność w multiplikator siły ofensywnych operacji cybernetycznych. Od wykrywania luk zero-day, przez automatyzację wdrażania złośliwego oprogramowania, po zwiększanie stopnia ukrywania się w działaniu, sztuczna inteligencja fundamentalnie zmienia sposób planowania i przeprowadzania cyberataków.
W miarę rozwoju cybernetycznych możliwości opartych na sztucznej inteligencji organizacje stają w obliczu przyszłości, w której ataki stają się szybsze, bardziej adaptacyjne i coraz trudniejsze do wykrycia, zanim spowodują szkody.
