Группа Google по анализу угроз (GTIG) опубликовала отчет о хакерской активности злоумышленников по всему миру, и представленная картина весьма отрезвляющая. Злоумышленники не только предсказуемо используют ботов для автоматизации своих усилий, но и применяют их весьма креативно почти во всех сферах киберпреступности, включая разработку как минимум одной уязвимости нулевого дня (zero-day exploit). Еще больше беспокоит обнаружение вредоносного ПО, способного изменять собственный исходный код и динамически создавать эксплойты, а также генерировать ложный код.
Упомянутая атака представляла собой Python-скрипт, который позволял обойти двухфакторную аутентификацию (2FA) в «популярном веб-ориентированном инструменте системного администрирования с открытым исходным кодом». По данным GTIG, код эксплойта имел все признаки использования ИИ и злоупотреблял логической ошибкой. GTIG отмечает, что при работе с потоками авторизации даже новейшие большие языковые модели (LLM) «с трудом ориентируются в сложной корпоративной […] логике», но они очень хороши в контекстном рассуждении. Это означает, что они способны читать исходный код и проверять намерение разработчика в сравнении с тем, что фактически реализовано, и таким образом быстро находить непредвиденные крайние случаи.
Однако это лишь малая часть отчета, поскольку GTIG обнаружила повсеместное использование ИИ в целом ряде типов операций кибербезопасности. У злоумышленников всегда были свои программные пакеты для создания и распространения эксплойтов, но теперь они могут рассчитывать на ботов, которые значительно расширяют их возможности. Агенты могут изменять свой исходный код в режиме реального времени или корректировать свою атаку по ходу дела, пытаясь избежать обнаружения.
Боты также используются для улучшения обфускации на нескольких уровнях, будь то добавление заполнительного кода в логику атаки или введение множества уровней косвенности, чтобы код мог скрыть свое истинное намерение. Само собой разумеется, что все эти характеристики значительно усложняют обнаружение или сдерживание программного обеспечения для безопасности; примерами являются CANFAIL и LONGSTREAM.
Программное обеспечение, такое как бэкдор PROMPTSPY для Android, использует Google Gemini (облачный сервис, а не вариант для устройств) для коварного манипулирования телефоном пользователя. Применяются изощренные трюки, включая создание снимков экрана и определение элементов пользовательского интерфейса, представленных пользователю, для последующей симуляции действий от его имени, вплоть до перехвата ввода PIN-кода/графического ключа или кликов по кнопке «Удалить приложение».
Кроме того, GTIG обнаружила случаи появления вредоносного ПО, способного изменять собственный исходный код и динамически создавать полезные нагрузки эксплойтов, а также генерировать ложный код.
Все эти способности к морфингу в реальном времени распространяются на фишинговые и сетевые атаки. Например, злоумышленники просят ботов сгенерировать организационную структуру компании и создать индивидуальные фишинговые электронные письма, наполненные реальной информацией, собранной из новостей, страниц LinkedIn или пресс-релизов.
Можно предположить, что чем больше данных пользователи предоставляют в своих ответах, тем более убедительными могут быть ответные меры. GTIG заявляет, что информация, собранная об отделах финансов, внутренней безопасности и кадрах, как правило, служит лучшей приманкой для фишинга — все это искусно подготовлено для наилучшего соответствия каждому целевому лицу.
Совершенно никого не удивило, что GTIG также заметила крупномасштабные операции в ряде стран, использующие ИИ в политических целях. Предсказуемой тактикой является создание поддельных изображений и видео, но использование ботов становится более тонким и в то же время более эффективным. Теперь стало легко генерировать правдоподобные голосовые наложения или заменять всего несколько слов и мимику в реальном видео, чтобы продвигать определенное сообщение. Включение реальных кадров с поддельным контентом для повышения правдоподобия также стало общей темой.
Отчет GTIG длинный, информативный и подробно освещает все вышеупомянутые темы, а также некоторые другие. Его стоит прочитать, возможно, с вашим любимым алкогольным напитком под рукой.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
