AI-Developed 2FA Exploit
Studiuesit e sigurisë kibernetike kanë zbuluar një aktor kërcënimi të paidentifikuar më parë që shfrytëzon një shfrytëzim zero-day që besohet se është zhvilluar me ndihmën e inteligjencës artificiale. Ky shënon rastin e parë të dokumentuar të përdorimit aktiv të inteligjencës artificiale në operacione keqdashëse në botën reale për zbulimin e dobësive dhe gjenerimin e shfrytëzimeve.
Hetuesit ia atribuojnë fushatën grupeve të koordinuara kriminale kibernetike që duket se kanë bashkëpunuar në një iniciativë shfrytëzimi të dobësive në shkallë të gjerë. Analiza e zinxhirit të sulmit të lidhur zbuloi një dobësi zero-ditore të integruar brenda një skripti Python të aftë të anashkalojë mbrojtjet e autentifikimit me dy faktorë (2FA) në një platformë administrimi të sistemit me burim të hapur, të bazuar në internet, të përdorur gjerësisht.
Edhe pse nuk ka prova të drejtpërdrejta që lidhin mjetin Gemini AI të Google me operacionin, studiuesit arritën në përfundimin me besim të lartë se një model AI luajti një rol të rëndësishëm në zbulimin dhe përdorimin e të metës si armë. Kodi Python shfaqi karakteristika të shumta që zakonisht shoqërohen me rezultatin e gjeneruar nga modeli i gjuhës së madhe (LLM), duke përfshirë formatim shumë të strukturuar, dokumente të gjera arsimore, menu të hollësishme ndihme dhe një zbatim të pastër të ngjyrave ANSI. Skripti gjithashtu përmbante një rezultat të sajuar CVSS, një shembull i zakonshëm i halucinacionit AI.
Tabela e Përmbajtjes
Si funksionoi shfrytëzimi i anashkalimit 2FA
Dobësia e identifikuar kërkonte kredenciale legjitime të përdoruesit për të funksionuar me sukses. Studiuesit përcaktuan se defekti buronte nga një dobësi logjike semantike e shkaktuar nga një supozim besimi i koduar fort brenda procesit të vërtetimit të aplikacionit. Defekte të tilla logjike të nivelit të lartë janë gjithnjë e më shumë brenda aftësive analitike të sistemeve moderne LLM.
Ekspertët e sigurisë paralajmërojnë se inteligjenca artificiale po përshpejton në mënyrë dramatike çdo fazë të ciklit jetësor të sulmit kibernetik, nga zbulimi i dobësive deri te validimi i shfrytëzimit dhe vendosja operacionale. Përdorimi në rritje i inteligjencës artificiale nga aktorët kërcënues po zvogëlon kohën dhe përpjekjet e nevojshme për të identifikuar dobësitë dhe për të nisur sulme, duke i vënë mbrojtësit nën një presion gjithnjë e në rritje.
IA zgjeron peizazhin e programeve keqdashëse dhe shfrytëzimit
Inteligjenca artificiale nuk kufizohet më vetëm në ndihmën për kërkimin e cenueshmërisë. Aktorët kërcënues tani po përdorin IA-në për të ndërtuar malware polimorfikë, për të automatizuar operacionet keqdashëse dhe për të fshehur funksionalitetin e sulmit. Një shembull i dukshëm është PromptSpy, një lloj malware për Android që abuzon me Gemini për të analizuar aktivitetin në ekran dhe për të lëshuar udhëzime që ndihmojnë malware-in të mbetet i fiksuar brenda listës së aplikacioneve të fundit.
Studiuesit kanë dokumentuar gjithashtu disa raste të profilit të lartë që përfshijnë aktivitete dashakeqe të ndihmuara nga Binjakët:
Grupi i dyshuar i spiunazhit kibernetik UNC2814, i lidhur me Kinën, thuhet se përdori instikte jailbreaking të bazuara në persona për të detyruar Gemini të merrte rolin e një eksperti të sigurisë së rrjetit. Objektivi ishte të mbështetej hulumtimi i dobësive që synonin pajisjet e integruara, duke përfshirë firmware-in TP-Link dhe implementimet e Odette File Transfer Protocol (OFTP).
Aktori kërcënues i Koresë së Veriut APT45 dyshohet se lëshoi mijëra kërkesa rekursive të dizajnuara për të analizuar CVE-të dhe për të validuar shfrytëzimet e provës së konceptit.
Grupi kinez i hakerave APT27 thuhet se përdori Gemini për të përshpejtuar zhvillimin e një aplikacioni për menaxhimin e flotës që ka të ngjarë të ketë për qëllim menaxhimin e një infrastrukture të kutisë operative të releve (ORB).
Operacionet e ndërhyrjes të lidhura me Rusinë që synonin organizatat ukrainase përdorën familje programesh keqdashëse të asistuara nga inteligjenca artificiale të njohura si CANFAIL dhe LONGSTREAM, të cilat të dyja përfshinin kod karrem të gjeneruar nga LLM për të maskuar sjelljen dashakeqe.
Të dhënat e stërvitjes së armatosur dhe operacionet autonome të inteligjencës artificiale
Gjithashtu, aktorët kërcënues janë vërejtur duke eksperimentuar me një depo të specializuar në GitHub të quajtur 'wooyun-legacy', të projektuar si një plugin për aftësi kodi Claude. Depoja përmban më shumë se 5,000 raste të cenueshmërisë në botën reale të mbledhura fillimisht nga platforma kineze e zbulimit të cenueshmërisë WooYun midis viteve 2010 dhe 2016.
Duke e futur këtë grup të dhënash në sistemet e IA-së, sulmuesit mund të mundësojnë të mësuarit në kontekst që i trajnon modelet për t'iu qasur analizës së kodit burimor me saktësinë e studiuesve me përvojë të sigurisë. Kjo përmirëson ndjeshëm aftësinë e IA-së për të identifikuar të metat delikate logjike që modelet standarde mund t'i anashkalojnë.
Studiuesit zbuluan gjithashtu se një aktor kërcënimi i dyshuar i lidhur me Kinën përdori mjete agjentike të inteligjencës artificiale si Hexstrike AI dhe Strix gjatë sulmeve kundër një kompanie japoneze të teknologjisë dhe një platforme të madhe të sigurisë kibernetike në Azinë Lindore. Këto mjete thuhet se mundësuan operacione të automatizuara të zbulimit dhe zbulimit me ndërhyrje minimale njerëzore.
Implikimet në rritje të sigurisë së inteligjencës artificiale ofensive
Gjetjet nënvizojnë një ndryshim të madh në peizazhin e kërcënimeve kibernetike. IA po evoluon me shpejtësi nga një mjet produktiviteti në një shumëzues force për operacionet kibernetike sulmuese. Nga zbulimi i dobësive zero-ditore te automatizimi i vendosjes së programeve keqdashëse dhe përmirësimi i fshehtësisë operacionale, inteligjenca artificiale po ndryshon rrënjësisht mënyrën se si planifikohen dhe ekzekutohen sulmet kibernetike.
Ndërsa aftësitë kibernetike të drejtuara nga inteligjenca artificiale vazhdojnë të zhvillohen, organizatat përballen me një të ardhme ku sulmet bëhen më të shpejta, më adaptive dhe gjithnjë e më të vështira për t'u zbuluar para se të ndodhë dëmi.
