Više od 57 različitih hakera koji su povezani s Kinom, Iranom, Sjevernom Korejom i Rusijom primjećeno je kako koriste tehnologiju vještačke inteligencije (AI) koju pokreće Google kako bi dodatno omogućili svoje maliciozne cyber informacione operacije.
“Hakeri eksperimentišu s Gemini-jem kako bi omogućili svoje operacije, pronalazeći povećanje produktivnosti, ali još ne razvijajući nove mogućnosti”, navodi se u novom izvještaju Google Threat Intelligence Group (GTIG). “Trenutno prvenstveno koriste vještačku inteligenciju za istraživanje, rješavanje problema koda i kreiranje i lokalizaciju sadržaja.”
Napadači koje podržava vlada, inače poznati kao grupe za naprednu trajnu prijetnju (APT), pokušali su koristiti njegove alate za jačanje više faza ciklusa napada, uključujući zadatke kodiranja i skriptovanja, razvoj korisnog opterećenja, prikupljanje informacija o potencijalnim metama, istraživanje javno poznatih ranjivosti i omogućavanje postkompromisnih aktivnosti, kao što je izbjegavanje odbrane.
Opisujući iranske APT hakere kao “najveće korisnike Geminija”, GTIG je rekao da je ekipa za hakere poznata kao APT42, koja je činila više od 30% upotrebe Geminija od strane hakera iz zemlje, iskoristila svoje alate za kreiranje phishing kampanja, obavljanje izviđanja o odbrani stručnjake i organizacije, te generisanje sadržaja s temama cyber sigurnosti.
APT42 , koji se preklapa sa klasterima praćenim kao Charming Kitten i Mint Sandstorm, ima istoriju orkestriranja poboljšanih šema društvenog inženjeringa kako bi se infiltrirao u ciljne mreže i okruženja cloud-a. Prošlog maja, Mandiant je otkrio da hakeri ciljaju zapadne i bliskoistočne nevladine organizacije, medijske organizacije, akademsku zajednicu, pravne službe i aktiviste predstavljajući se kao novinari i organizatori događaja.
Utvrđeno je da suprotstavljeni kolektiv istražuje vojne i sisteme naoružanja, proučava strateške trendove u kineskoj odbrambenoj industriji i bolje razumije avio-kosmičke sisteme proizvedene u SAD.
Pronađene su kineske APT grupe koje su pretraživale Gemini za načinima izviđanja, otklanjanjem koda i metodama za duboko ukopavanje u mreže žrtava kroz tehnike kao što su bočno kretanje, eskalacija privilegija, eksfiltracija podataka i izbjegavanje otkrivanja.
Dok su ruski APT hakeri ograničili svoju upotrebu Geminija za pretvaranje javno dostupnog malicioznog softvera u drugi jezik kodiranja i dodavanje slojeva šifrovanja postojećem kodu, sjevernokorejski hakeri su koristili Google-ovu AI uslugu za istraživanje infrastrukture i hosting provajdera.
“Važno je napomenuti da su sjevernokorejski hakeri također koristili Gemini za izradu propratnih pisama i istraživačkih poslova – aktivnosti koje bi vjerovatno podržale napore Sjeverne Koreje da smjesti tajne IT radnike u zapadne kompanije”, napominje GTIG.
“Jedna grupa koju podržava Sjeverna Koreja koristila je Gemini za izradu propratnih pisama i prijedloga za opis poslova, istraživala prosječne plate za određene poslove i pitala o poslovima na LinkedIn-u. Grupa je takođe koristila Gemini za informacije o razmjeni zaposlenih u inostranstvu. Mnoge teme bi biti uobičajen za sve koji istražuju i apliciraju za posao.”
Tehnološki gigant je dalje napomenuo da je vidio podzemne postove na forumima koji reklamiraju zlobne verzije modela velikih jezika (LLM) koji su sposobni generisati odgovore bez ikakvih sigurnosnih ili etičkih ograničenja.
Primjeri takvih alata uključuju WormGPT, WolfGPT, EscapeGPT, FraudGPT i GhostGPT, koji su eksplicitno dizajnirani za izradu personaliziranih phishing e-poruka, generisanje šablona za napade narušavanjem poslovne e-pošte (BEC) i dizajniranje lažnih web stranica.
Pokušaji zloupotrebe Geminija takođe su se spinning oko istraživanja aktuelnih događaja, kreiranja, prevođenja i lokalizacije sadržaja kao dijela uticajnih operacija koje su organizovali Iran, Kina i Rusija. Sve u svemu, APT grupe iz više od 20 zemalja koristile su Gemini.
Google, koji je rekao da ” aktivno raspoređuje odbranu ” kako bi se suprotstavio napadima brzim ubrizgavanjem , dodatno je naglasio potrebu za pojačanom javno-privatnom saradnjom kako bi se podigla kibernetička zaštita i poremetile prijetnje, navodeći “američka industrija i vlada moraju raditi zajedno kako bi podržali naše nacionalne i ekonomska sigurnost.”
Izvor:The Hacker News
