Криминальные хакеры использовали ИИ для написания работающего нулевого дня эксплойта

Группа угрозенной разведки Google заявила в воскресенье, что обнаружила, по их мнению, первый эксплойт нулевого дня, созданный с помощью модели ИИ.

Преступная хакерская группа написала его в виде скрипта на Python для обхода двухфакторной аутентификации (2FA) в инструменте веб-администратора с открытым исходным кодом, согласно отчету, опубликованному Google в его блоге Cloud. Компания сотрудничала с поставщиком, чтобы остановить массовую эксплуатацию до её начала.

Google связала эксплойт с ИИ через шаблоны кода

Google не обвиняет свою собственную модель Gemini. Аналитики указали на структурные шаблоны в коде, которые явно свидетельствуют о вовлеченности ИИ.

«Исходя из структуры и содержания этих эксплойтов, у нас высокая уверенность, что злоумышленник, вероятно, использовал модель ИИ для обнаружения и превращения этой уязвимости в оружие», — написала Google.

Скрипт на Python имел необычно подробные учебные строки документации, галлюцинированный рейтинг CVSS и форматирование, типичное для вывода крупной языковой модели.

Это включает структурированные меню помощи и аккуратный класс цвета, написанный в учебнике.

Google не назвала хакерскую группу или конкретный инструмент, который был целью.

Хакеры, поддерживаемые государством, используют модели ИИ для исследования уязвимостей

Отчет Google выходит за рамки одного случая нулевого дня.

Хакеры, связанные с Китаем и Северной Кореей, проявляют сильный интерес к использованию ИИ для поиска и эксплуатации программных ошибок, согласно группе угрозенной разведки Google.

Китайская группа угроз, известная как UNC2814, атакует телекоммуникационные и правительственные цели. Группа использовала технику, которую Google называет «персонаж-ориентированный джейлбрейк».

Группа поручила модели ИИ вести себя как старший специалист по безопасности, а затем направила её анализировать встроенное программное обеспечение устройств от TP-Link и реализации протокола Odette File Transfer Protocol на наличие уязвимостей для удаленного выполнения кода.

Другая группа, связанная с Китаем, использовала инструменты Strix и Hexstrike для атаки японской технологической компании и крупной кибербезопасной компании Восточной Азии.

Хакеры используют ИИ для быстрого поиска и эксплуатации уязвимостей нулевого дня. Источник: блог Google Cloud.

Группа из Северной Кореи APT45 выбрала другой подход. Она отправляла тысячи повторяющихся запросов для рекурсивного анализа известных записей CVE и проверки эксплойтов-демонстраций.

Google заявил, что этот метод создал «более надежный арсенал возможностей эксплуатации, который было бы невозможно управлять без помощи ИИ».

ИИ позволяет создавать новые виды вредоносных программ и обходных средств

Отчет Google охватывает и другие угрозы, связанные с ИИ, помимо исследования уязвимостей.

Подозреваемые российские хакеры использовали ИИ для кодирования и создания полиморфных вредоносных программ и сетей обфускации. Эти вредоносные программы ускоряют циклы разработки и помогают им избегать обнаружения.

Google также предупредила о типе вредоносных программ, называемой PROMPTSPY, которую она описала как тенденцию к автономным операциям атаки. Вредоносное ПО использует модели ИИ для интерпретации системных состояний и динамического создания команд для манипуляции средой жертвы. Атакующие могут передавать операционные решения самой модели.

Теперь злоумышленники приобретают анонимизированный премиум-доступ к языковым моделям через специализированное промежуточное программное обеспечение и автоматизированные системы регистрации аккаунтов. Эти сервисы позволяют хакерам обходить ограничения использования массово, используя пробные аккаунты для финансирования своей деятельности.

Группа, которую отслеживает Google как TeamPCP, также известная как UNC6780, начала целиться в зависимости программного обеспечения ИИ как точку входа в более широкие сети. Они используют скомпрометированные инструменты ИИ в качестве опорной точки для развертывания программ-вымогателей и вымогательства.

Google заявил, что использует собственные инструменты ИИ для защиты. Компания упомянула Big Sleep — агента ИИ, который выявляет уязвимости программного обеспечения, и CodeMender, использующий рассуждения Gemini для автоматического исправления ошибок.

Google также заявил, что отключает аккаунты, пойманные на неправильном использовании Gemini в злонамеренных целях.

Не просто читайте новости о криптовалютах. Понимайте их. Подписывайтесь на нашу рассылку. Это бесплатно.