Hackers criminosos usaram IA para escrever exploits de dia zero funcionais

O Grupo de Inteligência de Ameaças do Google afirmou neste domingo que detectou o que acredita ser a primeira exploração de zero-day construída com a ajuda de um modelo de IA.

Um grupo criminoso de hackers escreveu um script em Python para contornar a autenticação de dois fatores (2FA) em uma ferramenta de administração web de código aberto, de acordo com um relatório publicado pelo Google em seu Blog de Nuvem. A empresa trabalhou com o fornecedor para impedir a exploração em massa antes que ela começasse.

O Google vinculou a exploração à IA através de padrões de código

O Google não culpou seu próprio modelo Gemini. Analistas apontaram para padrões estruturais no código que sugerem fortemente envolvimento de IA.

“Com base na estrutura e no conteúdo dessas explorações, temos alta confiança de que o ator provavelmente utilizou um modelo de IA para apoiar a descoberta e a weaponização dessa vulnerabilidade”, escreveu o Google.

O script em Python tinha docstrings educacionais incomumente detalhadas, uma pontuação de severidade CVSS hallucinated (fantasiosa) e formatação típica de saída de grandes modelos de linguagem.

Isso inclui menus de ajuda estruturados e uma classe de cores limpa, escrita em estilo didático.

O Google não revelou o nome do grupo de hackers nem a ferramenta específica que foi alvo.

Hackers apoiados por estados usam modelos de IA para pesquisa de vulnerabilidades

O relatório do Google vai além do caso de zero-day único.

Hackers ligados à China e à Coreia do Norte demonstraram forte interesse em usar IA para encontrar e explorar falhas de software, de acordo com o Grupo de Inteligência de Ameaças do Google.

Um grupo de ameaça chinês conhecido como UNC2814 ataca alvos de telecomunicações e governos. O grupo usou uma técnica que o Google chama de jailbreak baseado em personas.

O grupo instruiu um modelo de IA a se comportar como um auditor de segurança sênior, e então o direcionou a analisar firmware de dispositivos embutidos de TP-Link e implementações do Protocolo de Transferência de Arquivos Odette para vulnerabilidades de execução remota de código.

O grupo solicitou a um modelo de IA que atuasse como um auditor de segurança sênior, e então o direcionou a buscar vulnerabilidades de execução remota de código no firmware de dispositivos embutidos da TP-Link e nas implementações do Protocolo de Transferência de Arquivos Odette.

Outro grupo com ligações à China usou ferramentas chamadas Strix e Hexstrike para atacar uma empresa de tecnologia japonesa e uma grande companhia de cibersegurança do Leste Asiático.

Hackers aproveitam IA para encontrar e explorar vulnerabilidades zero-day rapidamente. Fonte: Blog de Nuvem do Google.

O grupo norte-coreano APT45 adotou uma abordagem diferente. Enviou milhares de prompts repetitivos para analisar recursivamente entradas CVE conhecidas e validar exploits de prova de conceito.

O Google afirmou que esse método produziu “um arsenal mais robusto de capacidades de exploração que seria impraticável de gerenciar sem assistência de IA.”

IA permite novas formas de malware e evasão

O relatório do Google cobre outras ameaças de IA além da pesquisa de vulnerabilidades.

Hackers suspeitos russos usaram IA para codificar e construir malware polimórfico e redes de ofuscação. Esse malware acelera os ciclos de desenvolvimento e ajuda a evitar a detecção.

O Google também alertou sobre um tipo de malware que chama de PROMPTSPY, que descreveu como uma mudança em direção a operações de ataque autônomas. O malware usa modelos de IA para interpretar estados do sistema e gerar comandos dinamicamente para manipular ambientes de vítimas. Os atacantes podem delegar decisões operacionais ao próprio modelo.

Atuantes de ameaças agora obtêm acesso anônimo de nível premium a modelos de linguagem por meio de middleware especializado e sistemas automatizados de registro de contas. Esses serviços permitem que hackers contornem restrições de uso em massa, utilizando contas de teste para financiar suas atividades.

Um grupo monitorado pelo Google como TeamPCP, também conhecido como UNC6780, começou a direcionar dependências de software de IA como ponto de entrada para redes mais amplas. Eles usam ferramentas de IA comprometidas como ponto de apoio para implantação de ransomware e extorsão.

O Google afirmou que usa suas próprias ferramentas de IA de forma defensiva. A empresa mencionou o Big Sleep, um agente de IA que identifica vulnerabilidades de software, e o CodeMender, que usa o raciocínio do Gemini para corrigir falhas automaticamente.

O Google também disse que desativa contas flagradas por uso indevido do Gemini para fins maliciosos.

Não apenas leia notícias de criptomoedas. Entenda-as. Inscreva-se na nossa newsletter. É grátis.

Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • Comentário
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
Sem comentários
  • Fixado