Zneužitie 2FA vyvinuté umelou inteligenciou

Výskumníci v oblasti kybernetickej bezpečnosti odhalili doteraz neidentifikovaného aktéra hrozby, ktorý využíva zero-day exploit, o ktorom sa predpokladá, že bol vyvinutý s pomocou umelej inteligencie. Ide o prvý zdokumentovaný prípad aktívneho využitia umelej inteligencie v reálnych škodlivých operáciách na objavovanie zraniteľností a generovanie exploitov.

Vyšetrovatelia pripisujú kampaň koordinovaným skupinám kyberzločincov, ktoré zrejme spolupracovali na rozsiahlej iniciatíve zneužívania zraniteľností. Analýza súvisiaceho reťazca útokov odhalila zraniteľnosť typu „zero-day“ zabudovanú do skriptu v jazyku Python, ktorý je schopný obísť ochranu dvojfaktorovým overovaním (2FA) v široko používanej webovej platforme pre správu systémov s otvoreným zdrojovým kódom.

Hoci neexistuje priamy dôkaz, ktorý by spájal nástroj Google Gemini s umelou inteligenciou s touto operáciou, výskumníci s vysokou istotou dospeli k záveru, že model umelej inteligencie zohral významnú úlohu pri odhalení a využití chyby ako zbraň. Kód Pythonu vykazoval viacero charakteristík bežne spojených s výstupom generovaným modelom veľkých jazykov (LLM), vrátane vysoko štruktúrovaného formátovania, rozsiahlych vzdelávacích dokumentačných reťazcov, podrobných ponúk s nápovedou a čistej implementácie farieb ANSI. Skript tiež obsahoval vymyslené skóre CVSS, čo je bežný príklad halucinácií umelej inteligencie.

Ako fungoval exploit obídenia 2FA

Identifikovaná zraniteľnosť vyžadovala na úspešné fungovanie prihlasovacie údaje legitímnych používateľov. Výskumníci zistili, že chyba pochádza zo slabosti sémantickej logiky spôsobenej pevne zakódovaným predpokladom dôveryhodnosti v rámci autentifikačného procesu aplikácie. Takéto logické chyby na vysokej úrovni sú čoraz viac v rámci analytických možností moderných systémov LLM.

Bezpečnostní experti varujú, že umelá inteligencia dramaticky zrýchľuje každú fázu životného cyklu kybernetického útoku, od objavovania zraniteľností až po overovanie zneužitia a operačné nasadenie. Rastúce využívanie umelej inteligencie aktérmi hrozieb skracuje čas a úsilie potrebné na identifikáciu slabých miest a spustenie útokov, čím sa obrancovia vystavujú čoraz väčšiemu tlaku.

Umelá inteligencia rozširuje možnosti malvéru a jeho zneužívania

Umelá inteligencia sa už neobmedzuje len na pomoc pri výskume zraniteľností. Páchatelia škodlivých útokov teraz používajú umelú inteligenciu na vytváranie polymorfného malvéru, automatizáciu škodlivých operácií a skrývanie funkcií útoku. Jedným z pozoruhodných príkladov je PromptSpy, kmeň malvéru pre Android, ktorý zneužíva Gemini na analýzu aktivity na obrazovke a vydávanie pokynov, ktoré pomáhajú malvéru zostať zablokovaný v zozname nedávnych aplikácií.

Výskumníci tiež zdokumentovali niekoľko významných prípadov zahŕňajúcich škodlivú aktivitu s pomocou Gemini:

Podozrivá skupina UNC2814, ktorá sa zaoberá kybernetickou špionážou a je prepojená s Čínou, údajne použila výzvy na jailbreaking založené na osobách používateľov, aby prinútila Gemini prevziať úlohu experta na sieťovú bezpečnosť. Cieľom bolo podporiť výskum zraniteľností zameraný na vstavané zariadenia vrátane firmvéru TP-Link a implementácií protokolu Odette File Transfer Protocol (OFTP).

Severokórejský aktér hrozby APT45 údajne vydal tisíce rekurzívnych výziev určených na analýzu CVE a overenie konceptuálnych exploitov.

Čínska hackerská skupina APT27 údajne použila Gemini na urýchlenie vývoja aplikácie na správu vozového parku, ktorá je pravdepodobne určená na správu infraštruktúry prevádzkových reléových boxov (ORB).

Operácie zamerané na vniknutie do ukrajinských organizácií, prepojené s Ruskom, využívali rodiny malvéru s podporou umelej inteligencie známe ako CANFAIL a LONGSTREAM, ktoré obsahovali návnadový kód generovaný LLM na maskovanie škodlivého správania.

Dáta o výcviku so zbraňami a autonómne operácie s umelou inteligenciou

Okrem toho bolo pozorované, že útočníci experimentujú so špecializovaným repozitárom GitHub s názvom „wooyun-legacy“, ktorý je navrhnutý ako plugin pre zručnosti Claudeovho kódu. Repozitár obsahuje viac ako 5 000 reálnych prípadov zraniteľností, ktoré pôvodne zhromaždila čínska platforma na odhaľovanie zraniteľností WooYun v rokoch 2010 až 2016.

Poskytnutím tejto sady údajov do systémov umelej inteligencie môžu útočníci umožniť kontextové učenie, ktoré učí modely pristupovať k analýze zdrojového kódu s presnosťou skúsených bezpečnostných výskumníkov. To výrazne zlepšuje schopnosť umelej inteligencie identifikovať jemné logické chyby, ktoré by štandardné modely mohli prehliadnuť.

Výskumníci tiež odhalili, že podozrivý aktér hrozby spojený s Čínou nasadil počas útokov na japonskú technologickú spoločnosť a významnú východoázijskú platformu kybernetickej bezpečnosti nástroje umelej inteligencie s agentmi, ako napríklad Hexstrike AI a Strix. Tieto nástroje údajne umožňovali automatizované prieskumné a objavovacie operácie s minimálnym ľudským zásahom.

Rastúce bezpečnostné dôsledky útočnej umelej inteligencie

Zistenia zdôrazňujú zásadný posun v oblasti kybernetických hrozieb. Umelá inteligencia sa rýchlo vyvíja z nástroja produktivity na multiplikátor sily pre ofenzívne kybernetické operácie. Od odhaľovania zraniteľností typu „zero-day“ až po automatizáciu nasadzovania škodlivého softvéru a zvyšovanie operačnej utajenia, umelá inteligencia zásadne mení spôsob plánovania a vykonávania kybernetických útokov.

S rozvojom kybernetických schopností riadených umelou inteligenciou čelia organizácie budúcnosti, v ktorej sa útoky stanú rýchlejšími, adaptívnejšími a čoraz ťažšie ich odhalí skôr, ako dôjde k poškodeniu.