Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Vulnerabilitate Exploit 2FA dezvoltat de inteligență artificială

Exploit 2FA dezvoltat de inteligență artificială

Până în Mezo în Vulnerabilitate, Amenințare persistentă avansată (APT), Programe malware
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit un actor de amenințare neidentificat anterior, care folosește o vulnerabilitate zero-day despre care se crede că a fost dezvoltată cu ajutorul inteligenței artificiale. Acesta marchează primul caz documentat de utilizare activă a inteligenței artificiale în operațiuni rău intenționate din lumea reală pentru descoperirea vulnerabilităților și generarea de vulnerabilități.

Anchetatorii atribuie campania unor grupuri cibernetice coordonate care par să fi colaborat la o inițiativă de exploatare a vulnerabilităților la scară largă. Analiza lanțului de atac asociat a relevat o vulnerabilitate zero-day încorporată într-un script Python capabil să ocolească protecțiile de autentificare cu doi factori (2FA) într-o platformă de administrare a sistemului open-source, bazată pe web, utilizată pe scară largă.

Deși nicio dovadă directă nu leagă instrumentul de inteligență artificială Gemini de la Google de această operațiune, cercetătorii au concluzionat cu mare încredere că un model de inteligență artificială a jucat un rol semnificativ în descoperirea și transformarea defecțiunii în armă. Codul Python a afișat multiple caracteristici asociate în mod obișnuit cu ieșirile generate de modelele de limbaj larg (LLM), inclusiv formatare extrem de structurată, șiruri de documente educaționale extinse, meniuri de ajutor detaliate și o implementare curată a culorilor ANSI. Scriptul conținea, de asemenea, un scor CVSS fabricat, un exemplu comun de halucinație AI.

Cum a funcționat exploatarea ocolirii 2FA

Vulnerabilitatea identificată necesita acreditări legitime ale utilizatorilor pentru a funcționa cu succes. Cercetătorii au stabilit că defectul provine dintr-o slăbiciune a logicii semantice cauzată de o presupunere de încredere codificată fix în cadrul procesului de autentificare al aplicației. Astfel de defecte logice de nivel înalt se află din ce în ce mai mult în limitele capacităților analitice ale sistemelor LLM moderne.

Experții în securitate avertizează că inteligența artificială accelerează dramatic fiecare etapă a ciclului de viață al atacurilor cibernetice, de la descoperirea vulnerabilităților până la validarea exploit-urilor și implementarea operațională. Utilizarea tot mai mare a inteligenței artificiale de către actorii care atacă reduce timpul și efortul necesare pentru identificarea punctelor slabe și lansarea atacurilor, punând apărătorii sub o presiune tot mai mare.

IA extinde peisajul programelor malware și al exploatării

Inteligența artificială nu se mai limitează la asistarea cercetării vulnerabilităților. Actorii amenințători folosesc acum IA pentru a construi programe malware polimorfice, a automatiza operațiuni rău intenționate și a ascunde funcționalitatea atacurilor. Un exemplu notabil este PromptSpy, o tulpină de malware pentru Android care abuzează de Gemini pentru a analiza activitatea de pe ecran și a emite instrucțiuni care ajută malware-ul să rămână fixat în lista de aplicații recente.

Cercetătorii au documentat, de asemenea, mai multe cazuri de profil înalt care implică activități rău intenționate asistate de Gemini:

Grupul de spionaj cibernetic UNC2814, presupus a fi legat de China, ar fi folosit solicitări de jailbreak bazate pe personaje pentru a forța Gemini să își asume rolul de expert în securitatea rețelei. Obiectivul a fost de a sprijini cercetarea vulnerabilităților care vizau dispozitivele integrate, inclusiv firmware-ul TP-Link și implementările Odette File Transfer Protocol (OFTP).

Actorul de amenințare nord-coreean APT45 ar fi emis mii de solicitări recursive concepute pentru a analiza CVE-urile și a valida exploit-urile proof-of-concept.

Grupul de hackeri chinezi APT27 ar fi folosit Gemini pentru a accelera dezvoltarea unei aplicații de gestionare a flotei, probabil destinată gestionării unei infrastructuri de tip ORB (operational relee box).

Operațiuni de intruziune legate de Rusia care au vizat organizații ucrainene au implementat familii de programe malware asistate de inteligență artificială, cunoscute sub numele de CANFAIL și LONGSTREAM, ambele încorporând cod capcană generat de LLM pentru a deghiza comportamentul rău intenționat.

Date de antrenament înarmate și operațiuni autonome cu inteligență artificială

În plus, au fost observați actori amenințători experimentând cu un depozit specializat GitHub numit „wooyun-legacy”, conceput ca un plugin de abilități de cod Claude. Depozitul conține peste 5.000 de cazuri de vulnerabilități din lumea reală, colectate inițial de platforma chineză de dezvăluire a vulnerabilităților WooYun între 2010 și 2016.

Prin introducerea acestui set de date în sistemele de inteligență artificială, atacatorii pot permite învățarea în context care antrenează modelele să abordeze analiza codului sursă cu precizia unor cercetători experimentați în domeniul securității. Acest lucru îmbunătățește semnificativ capacitatea inteligenței artificiale de a identifica defecte logice subtile pe care modelele standard le-ar putea trece cu vederea.

Cercetătorii au dezvăluit, de asemenea, că un presupus actor de amenințare aliniat cu China a folosit instrumente de inteligență artificială, cum ar fi Hexstrike AI și Strix, în timpul atacurilor împotriva unei companii de tehnologie japoneze și a unei importante platforme de securitate cibernetică din Asia de Est. Aceste instrumente ar fi permis operațiuni automate de recunoaștere și descoperire cu intervenție umană minimă.

Implicațiile tot mai mari de securitate ale inteligenței artificiale ofensive

Constatările subliniază o schimbare majoră în peisajul amenințărilor cibernetice. IA evoluează rapid de la un instrument de productivitate la un multiplicator de forță pentru operațiunile cibernetice ofensive. De la descoperirea vulnerabilităților zero-day la automatizarea implementării de programe malware și îmbunătățirea discreției operaționale, inteligența artificială schimbă fundamental modul în care atacurile cibernetice sunt planificate și executate.

Pe măsură ce capacitățile cibernetice bazate pe inteligență artificială continuă să se maturizeze, organizațiile se confruntă cu un viitor în care atacurile devin mai rapide, mai adaptive și din ce în ce mai dificil de detectat înainte de a se produce daune.

Trending

Înșelătorie prin e-mail de conectare nerecunoscută...

phishing, Spam
E-mailurile neașteptate care susțin că a existat o activitate suspectă într-un cont ar trebui tratate întotdeauna cu prudență. Infractorii cibernetici deghizează frecvent încercările de phishing în notificări de securitate urgente pentru a-i presa pe destinatari să reacționeze fără să se gândească cu atenție. Așa-numitele e-mailuri de tip „Robinhood Unrecognized Sign-In” fac parte din această...

Cele mai văzute

Se încarcă...