Το OpenAI έχει διακόψει περισσότερες από 20 κακόβουλες επιχειρήσεις στον κυβερνοχώρο, κάνοντας κατάχρηση του chatbot που υποστηρίζεται από AI, το ChatGPT, για εντοπισμό σφαλμάτων και ανάπτυξη κακόβουλου λογισμικού, διάδοση παραπληροφόρησης, αποφυγή ανίχνευσης και διεξαγωγή επιθέσεων spear-phishing.
Η έκθεση, η οποία επικεντρώνεται στις επιχειρήσεις από την αρχή του έτους, αποτελεί την πρώτη επίσημη επιβεβαίωση ότι τα γενικά εργαλεία τεχνητής νοημοσύνης χρησιμοποιούνται για την ενίσχυση των επιθετικών επιχειρήσεων στον κυβερνοχώρο.
Τα πρώτα σημάδια μιας τέτοιας δραστηριότητας αναφέρθηκαν από την Proofpoint τον Απρίλιο, ο οποίος υποπτευόταν ότι το TA547 (γνωστός και ως “Scully Spider”) ανέπτυξε έναν φορτωτή PowerShell γραμμένο με τεχνητή νοημοσύνη για το τελικό ωφέλιμο φορτίο τους, το Rhadamanthys info-stealer.
Τον περασμένο μήνα, οι ερευνητές της HP Wolf ανέφεραν με μεγάλη σιγουριά ότι οι εγκληματίες του κυβερνοχώρου που στοχεύουν Γάλλους χρήστες χρησιμοποιούσαν εργαλεία τεχνητής νοημοσύνης για να γράψουν σενάρια που χρησιμοποιούνται ως μέρος μιας αλυσίδας μόλυνσης πολλαπλών βημάτων.
Ο τελευταία έκθεση από το OpenAI επιβεβαιώνει την κατάχρηση του ChatGPT, παρουσιάζοντας περιπτώσεις Κινέζων και Ιρανών παραγόντων απειλών που το χρησιμοποιούν για να ενισχύσουν την αποτελεσματικότητα των λειτουργιών τους.
Χρήση του ChatGPT σε πραγματικές επιθέσεις
Ο πρώτος παράγοντας απειλής που περιγράφεται από το OpenAI είναι «SweetSpecter», ένας Κινέζος αντίπαλος τεκμηριώθηκε για πρώτη φορά από τον Cisco Talos αναλυτές τον Νοέμβριο του 2023 ως ομάδα απειλής κυβερνοκατασκοπείας με στόχο τις ασιατικές κυβερνήσεις.
Το OpenAI αναφέρει ότι το SweetSpecter τους στόχευσε απευθείας, στέλνοντας spear phishing email με κακόβουλα συνημμένα ZIP καλυμμένα ως αιτήματα υποστήριξης στις προσωπικές διευθύνσεις email των εργαζομένων του OpenAI.
Εάν ανοίξουν, τα προσαρτήματα πυροδότησε μια αλυσίδα μόλυνσης, με αποτέλεσμα το SugarGh0st RAT να πέσει στο σύστημα του θύματος.
Πηγή: Proofpoint
Μετά από περαιτέρω έρευνα, το OpenAI διαπίστωσε ότι το SweetSpecter χρησιμοποιούσε ένα σύμπλεγμα λογαριασμών ChatGPT που εκτελούσε έρευνα σεναρίων και ανάλυση ευπάθειας με τη βοήθεια του εργαλείου LLM.
Οι παράγοντες απειλών χρησιμοποίησαν το ChatGPT για τα ακόλουθα αιτήματα:
| Δραστηριότητα | |
| Ερώτηση για τρωτά σημεία σε διάφορες εφαρμογές. | Αναγνώριση ενημερωμένη από το LLM |
| Ερώτηση πώς να αναζητήσετε συγκεκριμένες εκδόσεις του Log4j που είναι ευάλωτες στο κρίσιμο RCE Log4Shell. | Αναγνώριση ενημερωμένη από το LLM |
| Ρωτώντας για δημοφιλή συστήματα διαχείρισης περιεχομένου που χρησιμοποιούνται στο εξωτερικό. | Αναγνώριση ενημερωμένη από το LLM |
| Ζητώντας πληροφορίες για συγκεκριμένους αριθμούς CVE. | Αναγνώριση ενημερωμένη από το LLM |
| Ρωτώντας πώς κατασκευάζονται οι σαρωτές σε όλο το διαδίκτυο. | Αναγνώριση ενημερωμένη από το LLM |
| Ερώτηση πώς θα χρησιμοποιηθεί το sqlmap για τη μεταφόρτωση ενός πιθανού κελύφους ιστού σε έναν διακομιστή προορισμού. | Έρευνα ευπάθειας με τη βοήθεια LLM |
| Ζητώντας βοήθεια για την εύρεση τρόπων εκμετάλλευσης υποδομών που ανήκουν σε εξέχοντα κατασκευαστή αυτοκινήτων. | Έρευνα ευπάθειας με τη βοήθεια LLM |
| Παροχή κώδικα και αίτημα για πρόσθετη βοήθεια χρησιμοποιώντας υπηρεσίες επικοινωνίας για την αποστολή μηνυμάτων κειμένου μέσω προγραμματισμού. | Τεχνικές δέσμης ενεργειών ενισχυμένες με LLM |
| Ζητώντας βοήθεια για τον εντοπισμό σφαλμάτων της ανάπτυξης μιας επέκτασης για ένα εργαλείο κυβερνοασφάλειας. | Τεχνικές δέσμης ενεργειών ενισχυμένες με LLM |
| Ζητώντας βοήθεια για τον εντοπισμό σφαλμάτων κώδικα που αποτελεί μέρος ενός ευρύτερου πλαισίου για την αποστολή μηνυμάτων κειμένου μέσω προγραμματισμού σε αριθμούς που έχουν καθοριστεί από τους εισβολείς. | Ανάπτυξη με τη βοήθεια LLM |
| Ζητώντας θέματα που οι υπάλληλοι του κυβερνητικού τμήματος θα έβρισκαν ενδιαφέροντα και ποια θα ήταν τα καλά ονόματα για τα συνημμένα για να αποφευχθεί ο αποκλεισμός. | Κοινωνική μηχανική που υποστηρίζεται από LLM |
| Ζητώντας παραλλαγές ενός μηνύματος πρόσληψης εργασίας που παρέχεται από τον εισβολέα. | Κοινωνική μηχανική που υποστηρίζεται από LLM |
Η δεύτερη υπόθεση αφορά την ομάδα απειλής που συνδέεται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης του Ιράν (IRGC).CyberAv3ngers,’ γνωστό για τη στόχευση βιομηχανικών συστημάτων σε κρίσιμες τοποθεσίες υποδομής στις δυτικές χώρες.
Το OpenAI αναφέρει ότι οι λογαριασμοί που σχετίζονται με αυτήν την ομάδα απειλών ζήτησαν από το ChatGPT να δημιουργήσει προεπιλεγμένα διαπιστευτήρια σε ευρέως χρησιμοποιούμενους προγραμματιζόμενους ελεγκτές λογικής (PLC), να αναπτύξει προσαρμοσμένα σενάρια bash και Python και να θολώσει τον κώδικα.
Οι Ιρανοί χάκερ χρησιμοποίησαν επίσης το ChatGPT για να σχεδιάσουν τη δραστηριότητά τους μετά τον συμβιβασμό, να μάθουν πώς να εκμεταλλεύονται συγκεκριμένα τρωτά σημεία και να επιλέγουν μεθόδους κλοπής κωδικών πρόσβασης χρηστών σε συστήματα macOS, όπως αναφέρονται παρακάτω.
| Δραστηριότητα | |
| Ζητείται η λίστα των βιομηχανικών δρομολογητών που χρησιμοποιούνται συνήθως στην Ιορδανία. | Αναγνώριση ενημερωμένη από το LLM |
| Ζητείται η λίστα βιομηχανικών πρωτοκόλλων και θυρών που μπορούν να συνδεθούν στο Διαδίκτυο. | Αναγνώριση ενημερωμένη από το LLM |
| Ζητώντας τον προεπιλεγμένο κωδικό πρόσβασης για μια συσκευή Tridium Niagara. | Αναγνώριση ενημερωμένη από το LLM |
| Ζητείται ο προεπιλεγμένος χρήστης και ο κωδικός πρόσβασης ενός βιομηχανικού δρομολογητή Hirschmann RS Series. | Αναγνώριση ενημερωμένη από το LLM |
| Ζητώντας ευπάθειες που αποκαλύφθηκαν πρόσφατα στο CrushFTP και στον ελεγκτή ολοκληρωμένης διαχείρισης Cisco, καθώς και παλαιότερες ευπάθειες στο λογισμικό Asterisk Voice over IP. | Αναγνώριση ενημερωμένη από το LLM |
| Ζητώντας καταλόγους εταιρειών ηλεκτρικής ενέργειας, εργολάβων και κοινών PLC στην Ιορδανία. | Αναγνώριση ενημερωμένη από το LLM |
| Ερώτηση γιατί ένα απόσπασμα κώδικα bash επιστρέφει ένα σφάλμα. | Βελτιωμένες τεχνικές σεναρίου LLM |
| Ζητώντας τη δημιουργία ενός προγράμματος-πελάτη Modbus TCP/IP. | Βελτιωμένες τεχνικές σεναρίου LLM |
| Ζητείται η σάρωση ενός δικτύου για εκμεταλλεύσιμα τρωτά σημεία. | Έρευνα ευπάθειας με τη βοήθεια LLM |
| Ζητείται η σάρωση αρχείων zip για εκμεταλλεύσιμα τρωτά σημεία. | Έρευνα ευπάθειας με τη βοήθεια LLM |
| Ζητώντας ένα παράδειγμα πηγαίου κώδικα C που κοίλωνει τη διαδικασία. | Έρευνα ευπάθειας με τη βοήθεια LLM |
| Ρωτώντας πώς να αποκρύψετε τη γραφή σεναρίων vba στο excel. | Ενισχυμένη με LLM αποφυγή ανίχνευσης ανωμαλιών |
| Ζητώντας από το μοντέλο να αποκρύψει τον κώδικα (και παροχή του κώδικα). | Ενισχυμένη με LLM αποφυγή ανίχνευσης ανωμαλιών |
| Ερώτηση πώς να αντιγράψετε ένα αρχείο SAM. | Δραστηριότητα μετά τον συμβιβασμό με τη βοήθεια LLM |
| Ζητώντας εναλλακτική εφαρμογή στο mimikatz. | Δραστηριότητα μετά τον συμβιβασμό με τη βοήθεια LLM |
| Ερώτηση πώς να χρησιμοποιήσετε το pwdump για την εξαγωγή ενός κωδικού πρόσβασης. | Δραστηριότητα μετά τον συμβιβασμό με τη βοήθεια LLM |
| Ερώτηση πώς να αποκτήσετε πρόσβαση στους κωδικούς πρόσβασης χρήστη στο MacOS. | Δραστηριότητα μετά τον συμβιβασμό με τη βοήθεια LLM |
Η τρίτη περίπτωση που επισημαίνεται στην έκθεση του OpenAI αφορά Καταιγίδα-0817επίσης Ιρανοί παράγοντες απειλών.
Αυτή η ομάδα φέρεται να χρησιμοποίησε το ChatGPT για τον εντοπισμό σφαλμάτων κακόβουλου λογισμικού, τη δημιουργία ενός scraper Instagram, τη μετάφραση προφίλ LinkedIn στα περσικά και την ανάπτυξη ενός προσαρμοσμένου κακόβουλου λογισμικού για την πλατφόρμα Android μαζί με την υποστηρικτική υποδομή εντολών και ελέγχου, όπως αναφέρονται παρακάτω.
| Δραστηριότητα | |
| Αναζητήστε βοήθεια για τον εντοπισμό σφαλμάτων και την εφαρμογή ενός scraper Instagram. | Τεχνικές δέσμης ενεργειών ενισχυμένες με LLM |
| Μετάφραση προφίλ LinkedIn Πακιστανών επαγγελματιών στον τομέα της κυβερνοασφάλειας στα περσικά. | Αναγνώριση ενημερωμένη από το LLM |
| Ζητώντας υποστήριξη εντοπισμού σφαλμάτων και ανάπτυξης για την εφαρμογή κακόβουλου λογισμικού Android και της αντίστοιχης υποδομής εντολών και ελέγχου. | Ανάπτυξη με τη βοήθεια LLM |
Το κακόβουλο λογισμικό που δημιουργήθηκε με τη βοήθεια του chatbot του OpenAI μπορεί να κλέψει λίστες επαφών, αρχεία καταγραφής κλήσεων και αρχεία που είναι αποθηκευμένα στη συσκευή, να τραβήξει στιγμιότυπα οθόνης, να ελέγξει το ιστορικό περιήγησης του χρήστη και να πάρει την ακριβή θέση τους.
“Παράλληλα, το STORM-0817 χρησιμοποίησε το ChatGPT για να υποστηρίξει την ανάπτυξη κώδικα από την πλευρά του διακομιστή που είναι απαραίτητος για το χειρισμό συνδέσεων από παραβιασμένες συσκευές.” διαβάζει την αναφορά Open AI.
Όλοι οι λογαριασμοί OpenAI που χρησιμοποιήθηκαν από τους παραπάνω παράγοντες απειλών απαγορεύτηκαν και οι σχετικοί δείκτες συμβιβασμού, συμπεριλαμβανομένων των διευθύνσεων IP, έχουν κοινοποιηθεί σε συνεργάτες στον τομέα της κυβερνοασφάλειας.
Αν και καμία από τις περιπτώσεις που περιγράφηκαν παραπάνω δεν δίνει στους φορείς απειλών νέες δυνατότητες στην ανάπτυξη κακόβουλου λογισμικού, αποτελούν απόδειξη ότι τα εργαλεία παραγωγής τεχνητής νοημοσύνης μπορούν να κάνουν τις επιθετικές λειτουργίες πιο αποτελεσματικές για τους χαμηλού επιπέδου δεξιότητες, βοηθώντας τους σε όλα τα στάδια, από τον σχεδιασμό μέχρι την εκτέλεση.
VIA: bleepingcomputer.com
