Yapay Zeka Tarafından Geliştirilen 2FA Açığı
Siber güvenlik araştırmacıları, yapay zekâ yardımıyla geliştirildiğine inanılan sıfır gün açığından yararlanan, daha önce tanımlanmamış bir tehdit aktörünü ortaya çıkardı. Bu, yapay zekânın güvenlik açığı tespiti ve istismar üretimi için gerçek dünyadaki kötü amaçlı operasyonlarda aktif olarak kullanıldığı ilk belgelenmiş vakadır.
Araştırmacılar, bu saldırı kampanyasını, büyük ölçekli bir güvenlik açığı istismarı girişiminde iş birliği yapmış gibi görünen koordineli siber suç gruplarına bağlıyor. İlgili saldırı zincirinin analizi, yaygın olarak kullanılan açık kaynaklı, web tabanlı bir sistem yönetim platformunda iki faktörlü kimlik doğrulama (2FA) korumalarını atlatabilen bir Python betiğine gömülü sıfır gün güvenlik açığını ortaya çıkardı.
Google'ın Gemini yapay zeka aracının operasyonla doğrudan bağlantısını gösteren hiçbir kanıt olmamasına rağmen, araştırmacılar yüksek bir güvenle bir yapay zeka modelinin güvenlik açığının keşfedilmesinde ve silah haline getirilmesinde önemli bir rol oynadığı sonucuna vardılar. Python kodu, yüksek düzeyde yapılandırılmış biçimlendirme, kapsamlı eğitim doküman dizeleri, ayrıntılı yardım menüleri ve temiz bir ANSI renk uygulaması da dahil olmak üzere, büyük dil modeli (LLM) tarafından üretilen çıktılarla yaygın olarak ilişkilendirilen birçok özelliği sergiliyordu. Komut dosyası ayrıca, yapay zeka yanılsamasının yaygın bir örneği olan uydurma bir CVSS puanı da içeriyordu.
İçindekiler
İki Faktörlü Kimlik Doğrulama (2FA) Atlatma Açığı Nasıl Çalışıyordu?
Tespit edilen güvenlik açığı, başarılı bir şekilde çalışması için geçerli kullanıcı kimlik bilgilerini gerektiriyordu. Araştırmacılar, hatanın uygulamanın kimlik doğrulama sürecindeki sabit kodlanmış bir güven varsayımından kaynaklanan anlamsal mantık zayıflığından kaynaklandığını belirledi. Bu tür yüksek seviyeli mantık hataları, modern LLM sistemlerinin analitik yetenekleri dahilinde giderek daha fazla karşımıza çıkmaktadır.
Güvenlik uzmanları, yapay zekanın siber saldırı yaşam döngüsünün her aşamasını, güvenlik açığı keşfinden istismarın doğrulanmasına ve operasyonel dağıtıma kadar, önemli ölçüde hızlandırdığı konusunda uyarıyor. Tehdit aktörleri tarafından yapay zekanın giderek artan kullanımı, zayıf noktaları belirlemek ve saldırı başlatmak için gereken zamanı ve çabayı azaltarak savunmacılar üzerinde artan bir baskı oluşturuyor.
Yapay Zeka, Kötü Amaçlı Yazılım ve İstismar Alanını Genişletiyor
Yapay zekâ artık sadece güvenlik açığı araştırmalarına yardımcı olmakla sınırlı değil. Tehdit aktörleri artık yapay zekâyı polimorfik kötü amaçlı yazılımlar oluşturmak, kötü amaçlı işlemleri otomatikleştirmek ve saldırı işlevselliğini gizlemek için kullanıyor. Dikkat çekici bir örnek, Gemini'yi kötüye kullanarak ekran etkinliğini analiz eden ve kötü amaçlı yazılımın son uygulamalar listesinde sabit kalmasına yardımcı olan talimatlar veren bir Android kötü amaçlı yazılım türü olan PromptSpy'dır.
Araştırmacılar ayrıca Gemini destekli kötü amaçlı faaliyetlerle ilgili birçok önemli vakayı da belgelediler:
Çin bağlantılı olduğundan şüphelenilen siber casusluk grubu UNC2814'ün, Gemini'yi ağ güvenliği uzmanı rolünü üstlenmeye zorlamak için kişiye özel jailbreak komutları kullandığı bildirildi. Amaç, TP-Link bellenimi ve Odette Dosya Transfer Protokolü (OFTP) uygulamaları da dahil olmak üzere gömülü cihazları hedef alan güvenlik açığı araştırmalarını desteklemekti.
Kuzey Koreli tehdit aktörü APT45'in, CVE'leri analiz etmek ve kavram kanıtı niteliğindeki güvenlik açıklarını doğrulamak için tasarlanmış binlerce tekrarlayan komut istemi yayınladığı iddia ediliyor.
Çinli hacker grubu APT27'nin, operasyonel röle kutusu (ORB) altyapısını yönetmek amacıyla geliştirilen bir filo yönetim uygulamasının geliştirme sürecini hızlandırmak için Gemini'yi kullandığı bildirildi.
Ukrayna kuruluşlarını hedef alan Rusya bağlantılı sızma operasyonlarında, her ikisi de kötü niyetli davranışı gizlemek için LLM tarafından oluşturulan yanıltıcı kod içeren CANFAIL ve LONGSTREAM olarak bilinen yapay zeka destekli kötü amaçlı yazılım aileleri kullanıldı.
Silahlandırılmış Eğitim Verileri ve Otonom Yapay Zeka Operasyonları
Saldırganların ayrıca, Claude kod becerisi eklentisi olarak tasarlanmış 'wooyun-legacy' adlı özel bir GitHub deposuyla denemeler yaptığı gözlemlenmiştir. Bu depo, Çinli güvenlik açığı bildirim platformu WooYun tarafından 2010 ile 2016 yılları arasında toplanan 5.000'den fazla gerçek dünya güvenlik açığı vakasını içermektedir.
Saldırganlar, bu veri setini yapay zeka sistemlerine besleyerek, modellerin kaynak kod analizine deneyimli güvenlik araştırmacılarının hassasiyetiyle yaklaşmasını sağlayan bağlam içi öğrenmeyi etkinleştirebilirler. Bu, yapay zekanın standart modellerin gözden kaçırabileceği ince mantık hatalarını belirleme yeteneğini önemli ölçüde geliştirir.
Araştırmacılar ayrıca, Çin bağlantılı olduğundan şüphelenilen bir tehdit aktörünün, bir Japon teknoloji şirketine ve büyük bir Doğu Asya siber güvenlik platformuna yönelik saldırılar sırasında Hexstrike AI ve Strix gibi otomatik yapay zeka araçları kullandığını ortaya koydu. Bu araçların, minimum insan müdahalesiyle otomatik keşif ve bulma işlemlerini mümkün kıldığı bildirildi.
Yapay Zekanın Saldırgan Amaçlı Kullanımının Artan Güvenlik Riskleri
Bulgular, siber tehdit ortamında büyük bir değişimin altını çiziyor. Yapay zeka, hızla bir verimlilik aracından, saldırgan siber operasyonlar için bir güç çarpanına dönüşüyor. Sıfır gün güvenlik açıklarını keşfetmekten, kötü amaçlı yazılım dağıtımını otomatikleştirmeye ve operasyonel gizliliği artırmaya kadar, yapay zeka siber saldırıların planlanma ve yürütülme biçimini temelden değiştiriyor.
Yapay zekâ destekli siber yetenekler olgunlaşmaya devam ettikçe, kuruluşlar saldırıların daha hızlı, daha uyarlanabilir ve hasar oluşmadan önce tespit edilmesinin giderek daha zor hale geldiği bir gelecekle karşı karşıya kalacaklar.
