Hackerek először használnak mesterséges intelligenciát rejtett biztonsági rés kihasználására, Google szerint csak aktív felügyeletük állított meg tömeges támadást
A mesterséges intelligencia (MI) megkönnyítette az e-mailek írását, a táblázatok készítését és a nyaralások megtervezését is, amiről a különféle MI-modellek széles körű elterjedtsége is tanúskodik.
HIRDETÉS
HIRDETÉS
Emellett – egy friss Google-jelentés szerint – jóval könnyebbé tette a rendszereink szoftverében rejlő, korábban feltérképezetlen vagy gyakorlatilag előrejelezhetetlen réseket is feltárni.
A Google Threat Intelligence Groupja közölte, hogy most először buktatott le olyan hackereket, akik MI-t használtak egy úgynevezett nulladik napi (zero-day) sérülékenység felderítésére és kihasználására – vagyis olyan biztonsági résre, amelynek létezéséről a szoftver fejlesztője még nem tud, és amelyre még nem létezik javítás.
Célpontjuk egy népszerű, webes felületű rendszerüzemeltetési eszköz volt, és a hiba lehetővé tette a támadók számára a kétfaktoros hitelesítés megkerülését – azt a második biztonsági réteget, amelyről a legtöbben úgy gondolják, hogy megóvja a fiókjukat.
A Google elmondása szerint még azelőtt észlelték a támadást, hogy azt tömegesen bevethették volna, és csendben értesítették a szoftver fejlesztőjét.
„A bűnözői szereplő egy tömeges kihasználási kampányban akarta bevetni, de proaktív ellenlépésünk, a rés felfedezése, feltehetően megakadályozta ezt” – áll a jelentésben.
„A Kínai Népköztársasághoz (KNK) és a Koreai Népi Demokratikus Köztársasághoz (KNDK) köthető fenyegető szereplők szintén jelentős érdeklődést mutatnak az iránt, hogy az MI-t sérülékenységek felderítésére használják ki.”
Rés, amely elkerüli a fejlesztők figyelmét
A nulladik napi sérülékenység nem hagyományos hiba. A klasszikus biztonsági szkennerek összeomlásokat és memóriakezelési hibákat keresnek – ez a szoftveres megfelelője annak, ahogy a helyesírás-ellenőrző a digitális „elütéseket” kutatja –, ez a sérülékenység viszont a kód logikájában rejtőzött: a fejlesztő finom, kódba égetett feltételezésén alapult, amelyet egyetlen automatizált ellenőrző sem vett volna észre.
Ez az a fajta hiba, amikor a felszínen minden rendben lévőnek tűnik, de a mögöttes logika hibás. Olyan ez, mint egy banktrezor működő zárral, amely mégis kinyílik annak, aki tud egy kivételről, mert a tervező – anélkül, hogy észrevette volna – beépített egyet.
Éppen az efféle ellentmondások felkutatásában erős az MI. „A legfejlettebb nagy nyelvi modellek kiválóan azonosítják ezeket a magas szintű hibákat és a kódba égetett statikus anomáliákat” – folytatódik a jelentés.
Bár a legfejlettebb LLM-eknek továbbra is nehézséget okoz a nagyvállalati jogosultságkezelés bonyolult logikájában eligazodni, „egyre jobb a kontextuális következtetési képességük... és képesek kiszúrni a kódolt kivételekben rejlő ellentmondásokat” – teszi hozzá a dokumentum.
Ez a képesség lehetővé teszi a modellek számára, hogy felszínre hozzanak olyan szunnyadó logikai hibákat, amelyek a hagyományos szkennerek szemében funkcionálisan hibátlannak tűnnek, biztonsági szempontból azonban súlyosan problémásak.
undefined
Nem csak egy trükk
Noha a nulladik napi sérülékenység volt a fő megállapítás, a teljes jelentés meglehetősen nyugtalanító olvasmány.
Kínai és észak-koreai állami támogatású hackerek ipari léptékben használják az MI-t sérülékenységek felkutatására: automatizált utasításokkal vizsgálják a gyenge pontokat mindentől kezdve az otthoni routerektől a vállalati hálózatokig.
A Google megfigyelt egy észak-koreai csoportot, amely „több ezer, egymást ismétlő promptot küldött, amelyek rekurzívan elemeznek különböző CVE-ket és érvényesítik a PoC-exploiteket”, így – ahogy a jelentés fogalmaz – „olyan, jóval robusztusabb kihasználási arzenált építettek, amelynek kezelése MI-segítség nélkül gyakorlatilag kivitelezhetetlen lenne”.
Az oroszországhoz köthető csoportok eközben olyan kártevők fejlesztésére vetik be az MI-t, amelyek futás közben írják át saját kódjukat, hogy elkerüljék a felismerést – ez a képesség korábban komoly emberi szakértelmet igényelt.
Az MI a célzott adathalászatot is átalakítja. Ahelyett, hogy tömegesen küldenének általános e-maileket, a támadók már MI-t használnak a vállalati hierarchiák feltérképezésére és a bizalmas adatokhoz hozzáférő konkrét célpontok azonosítására, majd – a jelentés megfogalmazása szerint – „magasabb minőségű, adminisztratív jogosultságokkal rendelkező személyekre szabott adathalász csapdákat” generálnak, amelyek messze túlmutatnak „a hagyományos tömeges phishing megszokott, standard taktikáin”.
A Google figyelmeztetése szerint a szélesebb trend az, hogy az MI kutatási eszközből fokozatosan a kibertér biztonsági frontjának aktív szereplőjévé, afféle harcossá válik.
„A nagy nyelvi modellek többé nem pusztán passzív tanácsadók, hanem a támadási lánc aktív szereplői, amelyek képesek összetett eszközkészleteket vezérelni és gépi sebességgel hozni taktikai döntéseket.”
A Google saját MI-eszközei még azelőtt jelezték a nulladik napi hibát, hogy az kárt okozhatott volna – ez a történet biztató oldala. A vállalat maga is MI-ügynököket vet be, hogy a sérülékenységeket gyorsabban találja meg és foltozza be, mint ahogy az emberi csapatok képesek lennének rá.