Злочинні хакери використовували ШІ для написання робочих нульових днівних експлойтів

Група зловісної розвідки Google у неділю повідомила, що виявила, що, ймовірно, перша експлуатація нульового дня, створена за допомогою моделі штучного інтелекту.

Злочинна хакерська група написала її у вигляді сценарію Python для обходу двофакторної автентифікації (2FA) у відкритому веб-інструменті адміністратора, згідно з доповіддю, опублікованою Google у її Cloud Blog. Компанія співпрацювала з постачальником, щоб зупинити масове використання до його початку.

Google пов’язала експлуатацію з AI через шаблони коду

Google не звинувачує свою власну модель Gemini. Аналітики вказали на структурні шаблони у коді, які сильно натякають на участь AI.

«З огляду на структуру та зміст цих експлойтів, ми маємо високу впевненість, що актор, ймовірно, використовував модель AI для підтримки виявлення та озброєння цієї вразливості», — написала Google.

Сценарій Python мав надзвичайно детальні навчальні рядки документації, галюцинований бал серйозності CVSS і форматування, типове для виходу великих мовних моделей.

До них належать структуровані меню допомоги та чистий клас кольорів, написаний у підручниковому стилі.

Google не назвала хакерську групу або конкретний інструмент, що був ціллю.

Хакери, підтримувані державою, використовують моделі AI для дослідження вразливостей

Звіт Google виходить за межі одного випадку нульового дня.

Згідно з даними Google Threat Intelligence Group, хакери з Китаю та Північної Кореї виявили сильний інтерес до використання AI для пошуку та використання програмних вразливостей.

Група з Китаю, відома як UNC2814, атакує телекомунікаційні та урядові цілі. Група використовувала техніку, яку Google називає «персонаж-орієнтоване джейлбрейкінг».

Група наказала моделі AI поводитися як старший аудитор з безпеки, а потім спрямувала її аналізувати прошивки вбудованих пристроїв від TP-Link та реалізації протоколу передачі файлів Odette для виявлення віддалених вразливостей виконання коду.

Інша група, пов’язана із Китаєм, використовувала інструменти Strix і Hexstrike для атаки японської технологічної компанії та великої східноазіатської компанії з кібербезпеки.

Хакери використовують AI для швидкого пошуку та експлуатації вразливостей нульового дня. Джерело: Google Cloud Blog.

Північнокорейська група APT45 застосувала інший підхід. Вона надсилала тисячі повторюваних запитів для рекурсивного аналізу відомих записів CVE та перевірки експлойтів-підтверджень.

Google заявила, що цей метод створив «більш надійний арсенал можливостей експлойтів, який було б важко керувати без допомоги AI».

AI дозволяє створювати нові форми шкідливого програмного забезпечення та ухилення

Звіт Google охоплює інші загрози AI, окрім дослідження вразливостей.

Підозрювані російські хакери використовували AI для кодування та створення поліморфного шкідливого програмного забезпечення та мереж обфускації. Це шкідливе ПЗ прискорює цикли розробки та допомагає їм уникати виявлення.

Google також попередила про тип шкідливого ПЗ, яке вона називає PROMPTSPY, що описується як зміна у напрямку автономних операцій атак. Це шкідливе ПЗ використовує моделі AI для інтерпретації станів системи та динамічного створення команд для маніпуляції середовищем жертви. Атакуючі можуть передавати операційні рішення самій моделі.

Зловмисники тепер отримують анонімізований преміум-доступ до мовних моделей через спеціалізоване проміжне програмне забезпечення та автоматизовані системи реєстрації облікових записів. Ці сервіси дозволяють хакерам обходити обмеження використання масово, використовуючи пробні облікові записи для фінансування своєї діяльності.

Група, яку Google відстежує як TeamPCP, також відома як UNC6780, почала цілитися у залежності від AI-програмного забезпечення як у точку входу до ширших мереж. Вони використовують зламані інструменти AI як опору для розгортання викупу та шантажу.

Google заявила, що використовує власні інструменти AI у захисті. Компанія згадала Big Sleep, агента AI, який виявляє вразливості програмного забезпечення, та CodeMender, що використовує розуміння Gemini для автоматичного виправлення вразливостей.

Google також повідомила, що блокуватиме облікові записи, які неправомірно використовують Gemini у злочинних цілях.

Не просто читайте криптовалютні новини. Розумійте їх. Підписуйтеся на нашу розсилку. Це безкоштовно.