Peretas kriminal menggunakan AI untuk menulis eksploit zero-day yang berfungsi

Kelompok Intelijen Ancaman Google mengatakan hari Minggu bahwa mereka menangkap apa yang mereka percaya sebagai eksploitasi zero-day pertama yang dibangun dengan bantuan model AI.

Sebuah kelompok peretas kriminal menulisnya sebagai skrip Python untuk melewati otentikasi dua faktor (2FA) dalam alat admin web sumber terbuka, menurut laporan yang dipublikasikan Google di Blog Cloud-nya. Perusahaan bekerja sama dengan vendor untuk menghentikan eksploitasi massal sebelum dimulai.

Google mengaitkan eksploitasi tersebut dengan AI melalui pola kode

Google tidak menyalahkan model Gemini miliknya sendiri. Analis menunjukkan pola struktural dalam kode yang sangat menyarankan keterlibatan AI.

“Berdasarkan struktur dan isi dari eksploitasi ini, kami memiliki kepercayaan tinggi bahwa aktor kemungkinan memanfaatkan model AI untuk mendukung penemuan dan penyerangan kerentanan ini,” tulis Google.

Skrip Python tersebut memiliki string dokumentasi edukatif yang sangat rinci, skor keparahan CVSS yang halusinatif, dan format yang khas dari output model bahasa besar.

Termasuk menu bantuan terstruktur dan kelas warna bersih yang ditulis dengan gaya buku teks.

Google belum menyebutkan kelompok peretas atau alat spesifik yang menjadi target.

Peretas yang didukung negara menggunakan model AI untuk penelitian kerentanan

Laporan Google melampaui kasus zero-day tunggal.

Peretas yang terkait dengan China dan Korea Utara menunjukkan minat yang kuat dalam menggunakan AI untuk menemukan dan memanfaatkan celah perangkat lunak, menurut Kelompok Intelijen Ancaman Google.

Sebuah kelompok ancaman dari China yang dikenal sebagai UNC2814 menyerang target telekomunikasi dan pemerintah. Kelompok ini menggunakan teknik yang disebut Google sebagai jailbreaking berbasis persona.

Kelompok tersebut menginstruksikan model AI untuk berperilaku sebagai auditor keamanan senior, lalu mengarahkan model tersebut untuk menganalisis firmware perangkat tertanam dari implementasi TP-Link dan Odette File Transfer Protocol untuk kerentanan eksekusi kode jarak jauh.

Kelompok tersebut memerintahkan model AI untuk bertindak sebagai auditor keamanan senior, lalu mengarahkan model tersebut untuk mencari firmware perangkat tertanam TP-Link dan implementasi Odette File Transfer Protocol untuk kerentanan eksekusi kode jarak jauh.

Kelompok lain yang memiliki kaitan dengan China menggunakan alat bernama Strix dan Hexstrike untuk menyerang perusahaan teknologi Jepang dan perusahaan keamanan siber besar di Asia Timur.

Peretas memanfaatkan AI untuk menemukan dan mengeksploitasi kerentanan zero-day dengan cepat. Sumber: Blog Cloud Google.

Kelompok Korea Utara APT45 mengambil pendekatan berbeda. Mereka mengirim ribuan prompt berulang untuk menganalisis secara rekursif entri CVE yang diketahui dan memvalidasi eksploitasi bukti konsep.

Google mengatakan metode ini menghasilkan “persenjataan eksploit yang lebih kokoh yang akan tidak praktis untuk dikelola tanpa bantuan AI.”

AI memungkinkan bentuk malware dan pengelakan baru

Laporan Google mencakup ancaman AI lain di luar penelitian kerentanan.

Peretas Rusia yang diduga telah menggunakan AI untuk mengkodekan dan membangun malware polimorfik serta jaringan obfuscation. Malware tersebut mempercepat siklus pengembangan dan membantu mereka menghindari deteksi.

Google juga memperingatkan tentang jenis malware yang disebut PROMPTSPY, yang digambarkan sebagai perubahan menuju operasi serangan otonom. Malware ini menggunakan model AI untuk menafsirkan keadaan sistem dan secara dinamis menghasilkan perintah untuk memanipulasi lingkungan korban. Penyerang dapat menyerahkan keputusan operasional kepada model itu sendiri.

Pelaku ancaman kini memperoleh akses premium anonim ke model bahasa melalui middleware khusus dan sistem pendaftaran akun otomatis. Layanan ini memungkinkan peretas menghindari pembatasan penggunaan secara massal dengan memanfaatkan akun percobaan untuk membiayai aktivitas mereka.

Sebuah kelompok yang dilacak Google sebagai TeamPCP, juga dikenal sebagai UNC6780, telah mulai menargetkan ketergantungan perangkat lunak AI sebagai titik masuk ke jaringan yang lebih luas. Mereka menggunakan alat AI yang dikompromikan sebagai pijakan untuk penyebaran ransomware dan pemerasan.

Google mengatakan mereka menggunakan alat AI mereka sendiri secara defensif. Perusahaan merujuk pada Big Sleep, agen AI yang mengidentifikasi kerentanan perangkat lunak, dan CodeMender, yang menggunakan penalaran Gemini untuk secara otomatis memperbaiki kerusakan.

Google juga mengatakan mereka menonaktifkan akun yang tertangkap menyalahgunakan Gemini untuk tujuan jahat.

Jangan hanya membaca berita kripto. Pahami itu. Berlangganan newsletter kami. Gratis.