Izkoriščanje 2FA, razvito z umetno inteligenco
Raziskovalci kibernetske varnosti so odkrili prej neznanega akterja grožnje, ki izkorišča izkoriščanje ranljivosti ničnega dne, za katerega velja, da je bil razvit s pomočjo umetne inteligence. To je prvi dokumentiran primer aktivne uporabe umetne inteligence v resničnih zlonamernih operacijah za odkrivanje ranljivosti in ustvarjanje izkoriščanj.
Preiskovalci kampanjo pripisujejo usklajenim skupinam kibernetskih kriminalcev, ki so očitno sodelovale pri obsežni pobudi za izkoriščanje ranljivosti. Analiza povezane verige napadov je razkrila ranljivost ničelnega dne, vgrajeno v skript Python, ki je sposoben zaobiti zaščito dvofaktorske avtentikacije (2FA) v široko uporabljeni odprtokodni spletni platformi za upravljanje sistemov.
Čeprav ni neposrednih dokazov, ki bi povezovali Googlovo orodje Gemini z umetno inteligenco z operacijo, so raziskovalci z veliko gotovostjo zaključili, da je model umetne inteligence igral pomembno vlogo pri odkrivanju in uporabi napake kot orožja. Koda Python je kazala več značilnosti, ki so običajno povezane z izhodi, ustvarjenimi z modeli velikih jezikov (LLM), vključno z zelo strukturiranim oblikovanjem, obsežnimi izobraževalnimi dokumentacijskimi nizi, podrobnimi meniji za pomoč in čisto implementacijo barv ANSI. Skript je vseboval tudi izmišljeno oceno CVSS, kar je pogost primer halucinacij umetne inteligence.
Kazalo
Kako je delovala izkoriščanje 2FA Bypass
Ugotovljena ranljivost je za uspešno delovanje zahtevala legitimne uporabniške poverilnice. Raziskovalci so ugotovili, da napaka izvira iz šibkosti semantične logike, ki jo je povzročila trdo kodirana predpostavka zaupanja v postopku preverjanja pristnosti aplikacije. Takšne logične pomanjkljivosti na visoki ravni so vse bolj znotraj analitičnih zmogljivosti sodobnih sistemov LLM.
Varnostni strokovnjaki opozarjajo, da umetna inteligenca dramatično pospešuje vse faze življenjskega cikla kibernetskega napada, od odkrivanja ranljivosti do preverjanja izkoriščanja in operativne uvedbe. Naraščajoča uporaba umetne inteligence s strani akterjev groženj zmanjšuje čas in trud, potreben za prepoznavanje slabosti in izvajanje napadov, zaradi česar so branilci pod vse večjim pritiskom.
Umetna inteligenca širi področje zlonamerne programske opreme in izkoriščanja
Umetna inteligenca ni več omejena le na pomoč pri raziskovanju ranljivosti. Grožnje zdaj uporabljajo umetno inteligenco za gradnjo polimorfne zlonamerne programske opreme, avtomatizacijo zlonamernih operacij in prikrivanje funkcionalnosti napadov. Omeniti velja PromptSpy, sev zlonamerne programske opreme za Android, ki zlorablja Gemini za analizo dejavnosti na zaslonu in izdajanje navodil, ki pomagajo, da zlonamerna programska oprema ostane pripeta na seznam nedavnih aplikacij.
Raziskovalci so dokumentirali tudi več odmevnih primerov, ki vključujejo zlonamerno dejavnost, podprto s programsko opremo Gemini:
Domnevno s Kitajsko povezana skupina za kibernetsko vohunjenje UNC2814 naj bi uporabljala pozive za jailbreaking, ki jih poganjajo osebnosti, da bi prisilila Gemini, da prevzame vlogo strokovnjaka za omrežno varnost. Cilj je bil podpreti raziskave ranljivosti, usmerjene v vgrajene naprave, vključno z vdelano programsko opremo TP-Link in implementacijami protokola Odette File Transfer Protocol (OFTP).
Severnokorejski akter grožnje APT45 naj bi izdal na tisoče rekurzivnih pozivov, namenjenih analizi CVE in preverjanju izkoriščanja koncepta.
Kitajska hekerska skupina APT27 naj bi uporabila Gemini za pospešitev razvoja aplikacije za upravljanje voznega parka, ki je verjetno namenjena upravljanju infrastrukture operativnih relejnih omaric (ORB).
Z Rusijo povezane operacije vdorov, usmerjene v ukrajinske organizacije, so uporabile družine zlonamerne programske opreme s pomočjo umetne inteligence, znane kot CANFAIL in LONGSTREAM, ki sta vključevali vabljivo kodo, ustvarjeno z LLM, za prikrivanje zlonamernega vedenja.
Podatki o usposabljanju z orožjem in avtonomne operacije umetne inteligence
Poleg tega so opazili akterje grožnje, ki eksperimentirajo s specializiranim repozitorijem GitHub z imenom »wooyun-legacy«, zasnovanim kot vtičnik za kodiranje Claude. Repozitorij vsebuje več kot 5000 primerov ranljivosti iz resničnega sveta, ki jih je prvotno zbrala kitajska platforma za razkrivanje ranljivosti WooYun med letoma 2010 in 2016.
Z vnašanjem tega nabora podatkov v sisteme umetne inteligence lahko napadalci omogočijo učenje v kontekstu, ki modele usposablja za pristop k analizi izvorne kode z natančnostjo izkušenih varnostnih raziskovalcev. To znatno izboljša sposobnost umetne inteligence, da prepozna subtilne logične pomanjkljivosti, ki bi jih standardni modeli lahko spregledali.
Raziskovalci so tudi razkrili, da je domnevni akter grožnje, povezan s Kitajsko, med napadi na japonsko tehnološko podjetje in veliko vzhodnoazijsko platformo za kibernetsko varnost uporabil orodja umetne inteligence, kot sta Hexstrike AI in Strix. Ta orodja naj bi omogočala avtomatizirane operacije izvidovanja in odkrivanja z minimalnim človeškim posredovanjem.
Naraščajoče varnostne posledice ofenzivne umetne inteligence
Ugotovitve poudarjajo velik premik na področju kibernetskih groženj. Umetna inteligenca se hitro razvija iz orodja za produktivnost v multiplikator sile za ofenzivne kibernetske operacije. Od odkrivanja ranljivosti ničelnega dne do avtomatizacije uvajanja zlonamerne programske opreme in izboljšanja operativne prikritosti, umetna inteligenca bistveno spreminja način načrtovanja in izvajanja kibernetskih napadov.
Ker kibernetske zmogljivosti, ki jih poganja umetna inteligenca, še naprej dozorevajo, se organizacije soočajo s prihodnostjo, v kateri bodo napadi postali hitrejši, bolj prilagodljivi in vse težje zaznavni, preden pride do škode.
