DI kibernetinėse atakose tampa vis pavojingesnis: „Google“ atskleidė neraminančias detales

Dirbtinio intelekto vaidmuo kibernetinio saugumo srityje tampa vis labiau dviprasmis: tie patys įrankiai padeda greičiau rasti spragas, tačiau jais vis aktyviau naudojasi ir užpuolikai. „Google“ grėsmių žvalgybos grupė pranešė pirmą kartą identifikavusi atvejį, kai zero day tipo išnaudojimas, tikėtina, buvo atrastas ir parengtas pasitelkiant DI.

Zero day spraga yra ypač pavojinga todėl, kad apie ją dar nebūna žinoma gamintojams ar plačiajai bendruomenei, o pataisos tuo metu dažnai dar neegzistuoja. Pasak „Google“, nustatytas incidentas rodo naują lūžį: DI gali būti panaudojamas ne tik gynybai ar kodo analizei, bet ir realiam puolamųjų priemonių kūrimui.

„Pirmą kartą matome tokį atvejį, kai DI požymiai pastebimi pačiame zero day išnaudojimo kode ir jo pateikime“, – sakė „Google“ grėsmių žvalgybos grupės tyrėjai.

„Google“ teigimu, spraga buvo aptikta populiariame atvirojo kodo žiniatinklio sistemų administravimo įrankyje, o jos išnaudojimas leido apeiti dviejų veiksnių autentifikavimą. Vis dėlto sėkmingam išnaudojimui vis tiek reikėjo turėti teisingus naudotojo prisijungimo duomenis, todėl tai labiau primena atakų grandinės dalį, o ne universalų įsilaužimo raktą.

Tyrėjai atkreipė dėmesį į išnaudojimo kodo struktūrą ir stilių, kurie, jų vertinimu, primena DI generuojamus fragmentus. Minimi požymiai apima perteklinius mokomuosius komentarus, netipiškai tvarkingą, vadovėlinį formatą ir net sugalvotus techninius įvertinimus, kurie realiame saugumo darbe dažnai nenaudojami taip, kaip juos pateikia DI.

„Google“ pabrėžė, kad šiam atvejui nebuvo naudojamas „Gemini“ modelis. Toks patikslinimas svarbus dėl reputacinių rizikų: visuomenėje didėja jautrumas tam, kaip didieji modeliai gali būti išnaudojami, o technologijų bendrovės vis dažniau aiškinasi, kokiose situacijose jų įrankiai nedalyvavo.

Kartu „Google“ vertinimu, DI įsilaužėlių rankose tampa efektyvumo daugikliu per visą atakos ciklą. Tai apima spartesnę pažeidžiamumų paiešką, tikslesnę žvalgybą, įtikinamesnes socialinės inžinerijos schemas ir lengvesnį kenkėjiško kodo pritaikymą skirtingoms aplinkoms, kad jį būtų sunkiau aptikti.

Grėsmių žvalgybos vertinimu, dalis su valstybėmis siejamų grupių DI priemones naudoja pažeidžiamumams identifikuoti ir išnaudoti, o kitos daugiau dėmesio skiria maskavimo technikoms, polimorfiniam kenkėjiškam kodui bei atakų automatizavimui. Saugumo ekspertai pastebi ir dar vieną kryptį: pereinama prie vis labiau autonominių atakų orkestravimo, kai DI padeda interpretuoti užkrėstos sistemos būseną ir generuoti veiksmų sekas.

Tuo pat metu DI naudojimas gynyboje taip pat plečiasi. „Google“ viešai mini kryptį, kurioje DI agentai galėtų automatiškai aptikti programinės įrangos klaidas ir pasiūlyti pataisas, taip trumpinant laiką nuo spragos aptikimo iki jos užlopymo.

Ekspertai pabrėžia, kad organizacijoms svarbiausia išlieka bazinė higiena: daugiafaktorė autentifikacija, saugi slaptažodžių politika, reguliarūs atnaujinimai, įvykių stebėsena ir prieigos teisių ribojimas. Nors aptariamas atvejis siejamas su 2FA apėjimu, praktikoje tokios spragos dažniausiai suveikia tik tada, kai atakos vykdytojai jau turi dalį reikalingų duomenų arba vidinę prieigą.