Google sustabdė hakerių DI ataką: pirmą kartą pasaulyje patvirdintas DI naudojimas nulinės dienos spragai atrasti
·
Gegužės 11 dieną Google paskelbė tai, ko kibernetinio saugumo ekspertai bijojo jau kelerius metus. Hakeriai panaudojo dirbtinį intelektą tam, ko anksčiau reikėjo savaičių rankinio darbo: rasti nežinomą saugumo spragą ir sukurti įrankį masinei atakai.
Tai ne teorija. Tai įvyko.
Kas nutiko
Google Threat Intelligence Group aptiko kriminalinę grupuotę, kuri naudodamasi DI modeliu surado vadinamąją nulinės dienos (zero-day) spragą populiariame atvirojo kodo serverio administravimo įrankyje. Ši spraga leido apeiti dviejų veiksnių autentifikaciją (2FA). Tas pats saugumas, kuris turėtų apsaugoti tavo el. paštą, banko sąskaitą, darbo sistemas.
Giliausias dalykas čia: spragos tradiciniai automatizuoti įrankiai nerado. Ji buvo per subtili. Tai buvo logikos klaida aukštu lygiu, kurią reikėjo suprasti, o ne tiesiog perrinkti kodus. Ir štai kur DI pranoko viską, kas buvo prieš jį.
„Pasienio DI modeliai yra puikūs tokio tipo aukšto lygio klaidų identifikavimui”, rašoma Google ataskaitoje. Sistema sugebėjo suprasti programuotojo intenciją ir pastebėti prieštaravimą tarp to, kaip turėtų veikti 2FA, ir to, kaip ji iš tikrųjų veikia.
Tada hakeriai parašė Python scenarijų. Aiškų, tvarkingą. Su edukaciniais komentarais. Net dirbtinais CVSS vertinimais. Pagal išvaizdą tai atrodė kaip saugos tyrėjo darbas, ne kenkėjas.
Masinio puolimo planas
Google teigimu, grupuotė planavo šį įrankį panaudoti masiniame atakų cikle. Ne vieną tikslą, o šimtus ar tūkstančius sistemų vienu metu. Google proaktyviai atrado šią veiklą, informavo paveiktą organizaciją ir teisėsaugą.
„Kriminalinis veikėjas planavo tai panaudoti masinio išnaudojimo renginyje, tačiau mūsų aktyvus priešiškas atradimas greičiausiai sutrukdė jo panaudojimui”, rašė Google.
Tai yra gera naujiena. Bloga naujiena: ši grupuotė buvo pirmoji iš daugelio, kurios to bandė.
Valstybiniai veikėjai irgi naudoja DI
Toje pačioje Google ataskaitoje atskleidžiama, kad DI įsilaužimams naudoja ne tik kriminalinės grupuotės. Su Kinija siejamas UNC2814, su Šiaurės Korėja siejamas APT45, su Rusija susiję veikėjai, visi naudoja Gemini API ir kitus DI modelius atakoms optimizuoti.
APT27 naudoja DI kenkėjiškų programų kūrimui. APT45 rekursyviai analizuoja žinomas pažeidžiamumas. Rusų grupuotės kuria apgaulingas kodo dalis, kad suklaidintų gynybines sistemas.
Tai nebėra ateities grėsmė. Tai šiandien vykstanti realybė. Jau anksčiau rašėme, kaip TVF perspėjo apie DI kibernetinių atakų pigėjimą. Šis Google pranešimas yra konkretus to įrodymas.
PROMPTSPY: kai DI tampa šnipu telefone
Vienas atvejis išsiskiria. Kenkėjiška programa PROMPTSPY, skirta Android telefonams, autonomiškai valdo įrenginį naudodama Gemini API. Ji moka surinkti biometrinius duomenis. Pakartoti autentifikacijos gestus. Ir ji slepiasi, nes ant mygtuko „pašalinti” dedamas nematomos uždangos sluoksnis.
Tai jau ne virusas senąja prasme. Tai agentas, turintis tikslą ir gebantis prisitaikyti.
Jei domina, kaip DI agentai veikia atakos kontekste, skaityk mūsų analizę kaip DI agentai išmoko įsilaužti į kompiuterius ir kopijuoti save.
Google gynybos atsakas
Google nebuvo pasyvus. Išjungė pažeistas paskyras. Pašalino PROMPTSPY iš Google Play. Atskleidė spragą tiekėjui. Ir pradėjo kurti DI gynybos įrankius:
- Big Sleep, DI agentas, proaktyviai ieškantis spragų sistemose
- CodeMender, DI agentas, automatiškai taisantis kodo pažeidžiamumus
- Secure AI Framework (SAIF), saugaus DI kūrimo sistema
Tai atakos ir gynybos varžybos, tik dabar abiejose pusėse yra DI. Kaip atpažinti ir valdyti DI saugumo rizikas praktiškai, detaliau aprašyta šiame vadove verslo vadovams.
Ką tai reiškia tau konkrečiai
Jei valdai verslą ar esi atsakingas už IT saugumą, keletas žingsnių dabar.
Pirma, 2FA nebėra pakankama apsauga, jei naudojamas paplitęs atvirojo kodo įrankis. Patikrink, ar tavo serverio administravimo sistema gauna saugos atnaujinimus.
Antra, DI dabar randa logikos klaidas, kurias tradiciniai skeneriai praleido. Jei negali sau leisti saugos auditų dažniau, bent užsiprenumuok į automatizuotus pažeidžiamumų stebėjimo įrankius.
Trečia, socialinė inžinerija su DI tampa daug tikslesnė. Per tinkama, per gerai suformuluota žinutė turi kelti įtarimą.
ES reguliatoriai kuria taisykles, bet grėsmė lenkia teisės aktus. Kaip rašėme apie ES DI akto supaprastinimą, reguliavimas bando vytis sparčiai besikeičiančią aplinką.
John Hultquist žodžiais
Google Threat Intelligence vyriausiasis analitikas John Hultquist pasakė tai, ko daugelis tikėjosi neišgirsti: šis momentas yra tai, prieš ką kibernetinio saugumo ekspertai perspėjo metus. Mašinos nebegali tik pakartoti žmogiškų atakų. Jos pradeda atrasti naujus būdus, kurie žmonėms nė į galvą nekilo.
DUK
Kas yra zero-day pažeidžiamumas?
Tai saugumo spraga, apie kurią programinės įrangos kūrėjai dar nežino, todėl neturi jai pataisos. Hakeriai gali ją išnaudoti, kol kūrėjai nesukuria atnaujinimo.
Ar mano 2FA saugi?
Standartinė 2FA vis dar yra daug geriau nei jos neturėti. Tačiau šis atvejis rodo, kad pati sistema, kurioje 2FA veikia, gali turėti spragų. Saugumas yra sistemos lygmens klausimas.
Kaip apsisaugoti nuo DI valdomų atakų?
Reguliariai atnaujink programinę įrangą, naudok kelių lygių autentifikaciją, stebėk neįprastą sistemos veiklą ir edukuok komandą apie socialinės inžinerijos taktikas.
Ar Google žino, kuri grupuotė tai padarė?
Google nenurodė konkrečios grupuotės ir teigė, kad nėra įrodymų, jog ją sieja valstybiniai veikėjai. Tačiau ataskaita pabrėžia, kad su Kinija ir Šiaurės Korėja siejamos grupuotės tiria panašias technikas.
Kokius DI modelius naudojo hakeriai?
Google nepateikė tikslaus atsakymo, bet nurodė, kad jų Gemini ir Anthropic Claude modeliai greičiausiai nebuvo naudoti tame konkretaus incidente. Valstybiniai veikėjai naudoja Gemini API per proxy paslaugas.
