Lỗ hổng xác thực hai yếu tố (2FA) do AI phát triển

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một tác nhân đe dọa chưa từng được biết đến trước đây, lợi dụng một lỗ hổng bảo mật chưa được vá (zero-day exploit) được cho là phát triển với sự hỗ trợ của trí tuệ nhân tạo (AI). Đây là trường hợp đầu tiên được ghi nhận về việc AI được sử dụng tích cực trong các hoạt động độc hại thực tế để phát hiện lỗ hổng và tạo ra mã khai thác.

Các nhà điều tra cho rằng chiến dịch này do các nhóm tội phạm mạng phối hợp thực hiện, dường như chúng đã hợp tác trong một sáng kiến khai thác lỗ hổng quy mô lớn. Phân tích chuỗi tấn công liên quan đã tiết lộ một lỗ hổng zero-day được nhúng trong một kịch bản Python có khả năng vượt qua các biện pháp bảo vệ xác thực hai yếu tố (2FA) trong một nền tảng quản trị hệ thống dựa trên web mã nguồn mở được sử dụng rộng rãi.

Mặc dù không có bằng chứng trực tiếp nào liên kết công cụ AI Gemini của Google với chiến dịch này, các nhà nghiên cứu đã kết luận với độ tin cậy cao rằng một mô hình AI đã đóng vai trò quan trọng trong việc phát hiện và khai thác lỗ hổng. Mã Python thể hiện nhiều đặc điểm thường thấy ở đầu ra do mô hình ngôn ngữ lớn (LLM) tạo ra, bao gồm định dạng có cấu trúc cao, chuỗi tài liệu hướng dẫn chi tiết, menu trợ giúp cụ thể và triển khai màu ANSI rõ ràng. Đoạn mã cũng chứa điểm CVSS giả mạo, một ví dụ phổ biến về ảo giác của AI.

Cách thức hoạt động của lỗ hổng vượt qua xác thực hai yếu tố (2FA)

Lỗ hổng được xác định yêu cầu thông tin đăng nhập hợp lệ của người dùng để hoạt động thành công. Các nhà nghiên cứu xác định rằng lỗi này bắt nguồn từ điểm yếu về logic ngữ nghĩa do giả định về độ tin cậy được mã hóa cứng trong quy trình xác thực của ứng dụng. Những lỗi logic cấp cao như vậy ngày càng nằm trong khả năng phân tích của các hệ thống LLM hiện đại.

Các chuyên gia an ninh cảnh báo rằng trí tuệ nhân tạo (AI) đang đẩy nhanh đáng kể mọi giai đoạn của vòng đời tấn công mạng, từ phát hiện lỗ hổng đến xác thực khai thác và triển khai hoạt động. Việc các tác nhân đe dọa ngày càng sử dụng nhiều AI đang làm giảm thời gian và công sức cần thiết để xác định điểm yếu và tiến hành tấn công, gây áp lực ngày càng lớn lên những người bảo vệ hệ thống.

Trí tuệ nhân tạo mở rộng phạm vi phần mềm độc hại và khai thác lỗ hổng bảo mật.

Trí tuệ nhân tạo không còn chỉ giới hạn ở việc hỗ trợ nghiên cứu lỗ hổng bảo mật. Các tác nhân đe dọa hiện đang sử dụng AI để tạo ra phần mềm độc hại đa hình, tự động hóa các hoạt động độc hại và che giấu chức năng tấn công. Một ví dụ đáng chú ý là PromptSpy, một biến thể phần mềm độc hại Android lợi dụng Gemini để phân tích hoạt động trên màn hình và đưa ra các chỉ thị giúp phần mềm độc hại duy trì vị trí trong danh sách ứng dụng gần đây.

Các nhà nghiên cứu cũng đã ghi nhận một số trường hợp nổi bật liên quan đến hoạt động độc hại được hỗ trợ bởi Gemini:

Nhóm gián điệp mạng UNC2814, bị nghi ngờ có liên hệ với Trung Quốc, được cho là đã sử dụng các lời nhắc bẻ khóa dựa trên vai trò người dùng để buộc Gemini đảm nhận vai trò chuyên gia an ninh mạng. Mục tiêu là để hỗ trợ nghiên cứu lỗ hổng bảo mật nhắm vào các thiết bị nhúng, bao gồm phần mềm TP-Link và các triển khai Giao thức truyền tệp (OFTP) của Odette.

Nhóm tin tặc APT45 của Triều Tiên được cho là đã phát tán hàng nghìn yêu cầu lặp đi lặp lại được thiết kế để phân tích các lỗ hổng bảo mật (CVE) và xác thực các bằng chứng về khả năng khai thác.

Nhóm tin tặc Trung Quốc APT27 được cho là đã sử dụng Gemini để đẩy nhanh quá trình phát triển một ứng dụng quản lý đội tàu, có khả năng nhằm mục đích quản lý cơ sở hạ tầng hộp chuyển tiếp vận hành (ORB).

Các hoạt động xâm nhập có liên hệ với Nga nhắm vào các tổ chức của Ukraine đã sử dụng các họ phần mềm độc hại hỗ trợ trí tuệ nhân tạo có tên CANFAIL và LONGSTREAM, cả hai đều tích hợp mã mồi do LLM tạo ra để che giấu hành vi độc hại.

Dữ liệu huấn luyện được vũ khí hóa và các hoạt động AI tự động

Ngoài ra, các tác nhân đe dọa cũng được phát hiện đang thử nghiệm với một kho lưu trữ GitHub chuyên dụng có tên 'wooyun-legacy', được thiết kế như một plugin kỹ năng mã Claude. Kho lưu trữ này chứa hơn 5.000 trường hợp lỗ hổng bảo mật thực tế được thu thập ban đầu bởi nền tảng tiết lộ lỗ hổng WooYun của Trung Quốc từ năm 2010 đến năm 2016.

Bằng cách đưa tập dữ liệu này vào hệ thống AI, kẻ tấn công có thể kích hoạt khả năng học tập theo ngữ cảnh, huấn luyện các mô hình tiếp cận việc phân tích mã nguồn với độ chính xác của các nhà nghiên cứu bảo mật giàu kinh nghiệm. Điều này cải thiện đáng kể khả năng của AI trong việc xác định các lỗi logic tinh vi mà các mô hình tiêu chuẩn có thể bỏ qua.

Các nhà nghiên cứu cũng tiết lộ rằng một nhóm tin tặc bị nghi ngờ có liên hệ với Trung Quốc đã triển khai các công cụ trí tuệ nhân tạo (AI) như Hexstrike AI và Strix trong các cuộc tấn công nhằm vào một công ty công nghệ Nhật Bản và một nền tảng an ninh mạng lớn ở Đông Á. Các công cụ này được cho là đã cho phép thực hiện các hoạt động trinh sát và phát hiện tự động với sự can thiệp tối thiểu của con người.

Những hệ lụy ngày càng gia tăng về an ninh của trí tuệ nhân tạo tấn công

Những phát hiện này nhấn mạnh một sự thay đổi lớn trong bối cảnh mối đe dọa mạng. Trí tuệ nhân tạo (AI) đang nhanh chóng phát triển từ một công cụ tăng năng suất thành một yếu tố nhân rộng sức mạnh cho các hoạt động tấn công mạng. Từ việc phát hiện các lỗ hổng bảo mật chưa được vá (zero-day vulnerabilities) đến tự động hóa việc triển khai phần mềm độc hại và tăng cường khả năng hoạt động bí mật, trí tuệ nhân tạo đang thay đổi căn bản cách thức lập kế hoạch và thực hiện các cuộc tấn công mạng.

Khi năng lực an ninh mạng dựa trên trí tuệ nhân tạo tiếp tục phát triển, các tổ chức phải đối mặt với một tương lai mà các cuộc tấn công trở nên nhanh hơn, thích ứng tốt hơn và ngày càng khó phát hiện trước khi gây ra thiệt hại.