ช่องโหว่ 2FA ที่พัฒนาโดย AI

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบผู้ก่อภัยคุกคามที่ไม่เคยระบุตัวตนมาก่อน ซึ่งใช้ช่องโหว่ Zero-day ที่เชื่อว่าได้รับการพัฒนาขึ้นโดยความช่วยเหลือจากปัญญาประดิษฐ์ (AI) นี่ถือเป็นกรณีแรกที่มีการบันทึกไว้เกี่ยวกับการใช้ AI ในการปฏิบัติการโจมตีในโลกแห่งความเป็นจริงเพื่อค้นหาช่องโหว่และสร้างช่องโหว่เพื่อโจมตี

ผู้สืบสวนระบุว่าการโจมตีครั้งนี้เป็นการกระทำของกลุ่มอาชญากรไซเบอร์ที่ประสานงานกัน โดยดูเหมือนว่าจะร่วมมือกันในการโจมตีเพื่อใช้ประโยชน์จากช่องโหว่ขนาดใหญ่ การวิเคราะห์ห่วงโซ่การโจมตีที่เกี่ยวข้องเผยให้เห็นช่องโหว่ Zero-day ที่ฝังอยู่ในสคริปต์ Python ซึ่งสามารถหลีกเลี่ยงการป้องกันการตรวจสอบสิทธิ์แบบสองขั้นตอน (2FA) ในแพลตฟอร์มการจัดการระบบบนเว็บแบบโอเพนซอร์สที่ใช้กันอย่างแพร่หลาย

แม้ว่าจะไม่มีหลักฐานโดยตรงที่เชื่อมโยงเครื่องมือ AI Gemini ของ Google กับปฏิบัติการนี้ แต่นักวิจัยสรุปด้วยความมั่นใจว่าแบบจำลอง AI มีบทบาทสำคัญในการค้นพบและนำช่องโหว่นี้ไปใช้ในทางที่ผิด โค้ด Python แสดงลักษณะหลายอย่างที่มักเกี่ยวข้องกับผลลัพธ์ที่สร้างโดยแบบจำลองภาษาขนาดใหญ่ (LLM) รวมถึงการจัดรูปแบบที่มีโครงสร้างสูง คำอธิบายประกอบเชิงการศึกษาที่ครอบคลุม เมนูช่วยเหลือโดยละเอียด และการใช้งานสี ANSI ที่ชัดเจน สคริปต์ยังประกอบด้วยคะแนน CVSS ที่ถูกสร้างขึ้น ซึ่งเป็นตัวอย่างทั่วไปของภาพลวงตาที่เกิดจาก AI

วิธีการทำงานของช่องโหว่การข้ามการตรวจสอบสิทธิ์แบบสองขั้นตอน (2FA Bypass Exploit)

ช่องโหว่ที่ตรวจพบนั้นจำเป็นต้องใช้ข้อมูลประจำตัวผู้ใช้ที่ถูกต้องจึงจะทำงานได้อย่างสำเร็จ นักวิจัยพบว่าข้อบกพร่องดังกล่าวมีต้นกำเนิดมาจากจุดอ่อนทางตรรกะเชิงความหมาย ซึ่งเกิดจากสมมติฐานความน่าเชื่อถือที่ถูกกำหนดไว้ตายตัวในกระบวนการตรวจสอบสิทธิ์ของแอปพลิเคชัน ข้อบกพร่องทางตรรกะระดับสูงเช่นนี้อยู่ในขีดความสามารถในการวิเคราะห์ของระบบ LLM สมัยใหม่มากขึ้นเรื่อยๆ

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่า ปัญญาประดิษฐ์ (AI) กำลังเร่งความเร็วในทุกขั้นตอนของวงจรการโจมตีทางไซเบอร์อย่างมาก ตั้งแต่การค้นหาช่องโหว่ การตรวจสอบความถูกต้องของการโจมตี ไปจนถึงการนำไปใช้งานจริง การใช้งาน AI ที่เพิ่มมากขึ้นโดยผู้คุกคามกำลังลดเวลาและความพยายามที่จำเป็นในการระบุจุดอ่อนและเริ่มการโจมตี ทำให้ฝ่ายป้องกันต้องเผชิญกับแรงกดดันที่เพิ่มมากขึ้น

AI ขยายขอบเขตของมัลแวร์และการโจมตีช่องโหว่

ปัญญาประดิษฐ์ (AI) ไม่ได้จำกัดอยู่แค่การช่วยวิจัยช่องโหว่อีกต่อไปแล้ว ปัจจุบันผู้โจมตีใช้ AI ในการสร้างมัลแวร์แบบโพลีมอร์ฟิก (polymorphic malware) ทำการโจมตีโดยอัตโนมัติ และซ่อนฟังก์ชันการโจมตี ตัวอย่างที่เห็นได้ชัดคือ PromptSpy ซึ่งเป็นมัลแวร์สำหรับ Android ที่ใช้ประโยชน์จาก Gemini ในการวิเคราะห์กิจกรรมบนหน้าจอและออกคำสั่งที่ช่วยให้มัลแวร์ยังคงอยู่ในรายการแอปพลิเคชันล่าสุด

นักวิจัยยังได้บันทึกกรณีสำคัญหลายกรณีที่เกี่ยวข้องกับกิจกรรมที่เป็นอันตรายซึ่งได้รับการช่วยเหลือจาก Gemini:

มีรายงานว่ากลุ่มจารกรรมทางไซเบอร์ UNC2814 ซึ่งต้องสงสัยว่ามีความเชื่อมโยงกับจีน ได้ใช้คำสั่งเจลเบรกที่ควบคุมด้วยตัวตนปลอม เพื่อบังคับให้ Gemini สวมบทบาทเป็นผู้เชี่ยวชาญด้านความปลอดภัยเครือข่าย โดยมีเป้าหมายเพื่อสนับสนุนการวิจัยช่องโหว่ที่มุ่งเป้าไปที่อุปกรณ์ฝังตัว รวมถึงเฟิร์มแวร์ของ TP-Link และการใช้งานโปรโตคอลการถ่ายโอนไฟล์ Odette (OFTP)

กลุ่มแฮ็กเกอร์ APT45 จากเกาหลีเหนือถูกกล่าวหาว่าส่งข้อความแจ้งเตือนแบบวนซ้ำหลายพันรายการ ซึ่งออกแบบมาเพื่อวิเคราะห์ช่องโหว่ความปลอดภัย (CVE) และตรวจสอบความถูกต้องของการโจมตีแบบพิสูจน์แนวคิด (proof-of-concept exploits)

มีรายงานว่ากลุ่มแฮ็กเกอร์ชาวจีน APT27 ใช้ Gemini เพื่อเร่งการพัฒนาแอปพลิเคชันการจัดการยานพาหนะ ซึ่งน่าจะออกแบบมาเพื่อจัดการโครงสร้างพื้นฐานของกล่องรีเลย์ปฏิบัติการ (ORB)

ปฏิบัติการโจมตีที่เชื่อมโยงกับรัสเซียซึ่งมุ่งเป้าไปที่องค์กรในยูเครนได้ใช้มัลแวร์ที่ใช้ปัญญาประดิษฐ์ (AI) ในตระกูล CANFAIL และ LONGSTREAM ซึ่งทั้งสองตระกูลนี้ได้รวมเอาโค้ดล่อที่สร้างโดย LLM เพื่อปกปิดพฤติกรรมที่เป็นอันตราย

ข้อมูลการฝึกอบรมที่ใช้เป็นอาวุธและการปฏิบัติการ AI แบบอัตโนมัติ

นอกจากนี้ ยังพบว่ากลุ่มผู้คุกคามกำลังทดลองใช้คลังเก็บข้อมูล GitHub เฉพาะทางชื่อ 'wooyun-legacy' ซึ่งออกแบบมาเป็นปลั๊กอินทักษะการเขียนโค้ด Claude คลังเก็บข้อมูลนี้ประกอบด้วยกรณีช่องโหว่ในโลกแห่งความเป็นจริงมากกว่า 5,000 กรณี ซึ่งรวบรวมโดยแพลตฟอร์มการเปิดเผยช่องโหว่ของจีน WooYun ระหว่างปี 2010 ถึง 2016

ด้วยการป้อนชุดข้อมูลนี้เข้าสู่ระบบ AI ผู้โจมตีสามารถเปิดใช้งานการเรียนรู้ตามบริบท ซึ่งฝึกฝนโมเดลให้เข้าถึงการวิเคราะห์ซอร์สโค้ดด้วยความแม่นยำเทียบเท่ากับนักวิจัยด้านความปลอดภัยที่มีประสบการณ์ สิ่งนี้ช่วยเพิ่มความสามารถของ AI ในการระบุข้อบกพร่องเชิงตรรกะที่ละเอียดอ่อนซึ่งโมเดลมาตรฐานอาจมองข้ามไปได้อย่างมาก

นักวิจัยยังเปิดเผยอีกว่า กลุ่มผู้คุกคามที่ต้องสงสัยว่ามีเครือข่ายเชื่อมโยงกับจีน ได้ใช้เครื่องมือ AI ที่เป็นอันตราย เช่น Hexstrike AI และ Strix ในระหว่างการโจมตีบริษัทเทคโนโลยีของญี่ปุ่นและแพลตฟอร์มความปลอดภัยทางไซเบอร์ที่สำคัญในเอเชียตะวันออก เครื่องมือเหล่านี้ช่วยให้สามารถปฏิบัติการสอดแนมและค้นหาเป้าหมายได้โดยอัตโนมัติ โดยมีการแทรกแซงจากมนุษย์น้อยที่สุด

ผลกระทบด้านความปลอดภัยที่เพิ่มมากขึ้นของปัญญาประดิษฐ์เชิงรุก

ผลการวิจัยชี้ให้เห็นถึงการเปลี่ยนแปลงครั้งสำคัญในภูมิทัศน์ของภัยคุกคามทางไซเบอร์ ปัญญาประดิษฐ์กำลังพัฒนาอย่างรวดเร็วจากเครื่องมือเพิ่มประสิทธิภาพการทำงานไปสู่ตัวคูณกำลังสำหรับการปฏิบัติการโจมตีทางไซเบอร์ ตั้งแต่การค้นพบช่องโหว่แบบ Zero-day ไปจนถึงการทำให้การติดตั้งมัลแวร์เป็นไปโดยอัตโนมัติ และการเพิ่มประสิทธิภาพการพรางตัวในการปฏิบัติการ ปัญญาประดิษฐ์กำลังเปลี่ยนแปลงวิธีการวางแผนและดำเนินการโจมตีทางไซเบอร์อย่างพื้นฐาน

เมื่อขีดความสามารถด้านไซเบอร์ที่ขับเคลื่อนด้วย AI พัฒนาขึ้นอย่างต่อเนื่อง องค์กรต่างๆ ก็ต้องเผชิญกับอนาคตที่การโจมตีจะรวดเร็วขึ้น ปรับตัวได้มากขึ้น และตรวจจับได้ยากขึ้นก่อนที่จะเกิดความเสียหาย