Pierwszy taki atak. AI zbudowało go od podstaw
Google poinformował, że po raz pierwszy wykrył exploit typu zero-day, który najpewniej powstał przy wsparciu sztucznej inteligencji. Narzędzie miało omijać uwierzytelnianie dwuskładnikowe.
Sprawę opisano w nowym raporcie o wykorzystaniu AI w cyberzagrożeniach. Z danych zebranych przez Gemini, Google Threat Intelligence Group (GITG) i Mandiant wynika, że znana grupa cyberprzestępcza stworzyła skrypt w Pythonie do ataku na podatność zero-day. Google nie ujawnił ani nazwy grupy, ani zaatakowanego narzędzia.
Firma przekazała, że współpracowała z dostawcą zaatakowanego rozwiązania, aby zablokować możliwość masowego wykorzystania luki. Według Google taki właśnie miał być plan sprawców. Atak był wymierzony w webowe narzędzie administracyjne typu open source i służył do obejścia zabezpieczenia 2FA.
Google oszalał? Nie wierzę, że ta aplikacja jest darmowa
Google zarzeka się, że nie Gemini stworzyło zagrożenie
Google wskazał też elementy, które miały sugerować udział modelu językowego. W skrypcie znalazło się dużo edukacyjnych komentarzy do dokumentowania modułów, w tym zmyślona punktacja CVSS do oceny stopnia zagrożenia i podatności systemów oraz oprogramowania.
Firma zwróciła też uwagę na uporządkowany, podręcznikowy styl Pythona oraz rozbudowane menu pomocy i klasę _C ANSI color. To cechy, które eksperci do spraw cyberbezpieczeństwa przypisują zagrożeniom stworzonym przez modele językowe.
"Chociaż nie sądzimy, by wykorzystano Gemini, na podstawie struktury i treści tych exploitów z dużą pewnością oceniamy, że sprawca prawdopodobnie użył modelu AI do wsparcia odkrycia i uzbrojenia tej podatności" - wyjaśnił Google w raporcie.
Raport opisuje również aktywność grup powiązanych z Chinami i Koreą Północną. Według Google podmioty sponsorowane przez państwo szczególnie interesują się użyciem AI do wyszukiwania podatności. Jeden z aktorów związanych z Chinami miał używać narzędzi Strix i Hexstrike w atakach na japońską firmę technologiczną oraz dużą firmę cyberbezpieczeństwa w Azji Wschodniej.
Google podał też, że chińska grupa UNC2814 stosowała technikę jailbreak opartą na personie, każąc AI wcielać się w starszego audytora bezpieczeństwa. Z kolei północnokoreańska grupa APT45 wysyłała tysiące powtarzalnych promptów do analizy CVE i sprawdzania exploitów PoC. "Daje to bardziej rozbudowany arsenał możliwości ataku, którym bez wsparcia AI trudno byłoby zarządzać" - napisał Google.
