به گزارش ترفندستان به نقل از BleepingComputer
.
گزارشهای اخیر نشان میدهد که گروههای هکری تحت حمایت دولتها در حال آزمایش با دستیار هوش مصنوعی Gemini گوگل هستند تا بهرهوری خود را افزایش داده و برای تحقیق در مورد زیرساختهای احتمالی حملات یا شناسایی اهداف استفاده کنند.
گروه اطلاعات تهدید گوگل (GTIG) تشخیص داده است که این گروههای تهدید پیشرفته (APT) مرتبط با دولتها، از Gemini بیشتر برای افزایش بهرهوری استفاده میکنند تا توسعه یا اجرای حملات سایبری جدید مبتنی بر هوش مصنوعی که میتوانند از دفاعهای سنتی عبور کنند.
هکرهای سازمانیافته مدتهاست که سعی در استفاده از ابزارهای هوش مصنوعی برای اهداف حمله خود با درجات مختلف موفقیت داشتهاند، زیرا این ابزارها میتوانند حداقل دوره آمادهسازی حملات را کاهش دهند.
گوگل اعلام کرده که فعالیتهای مرتبط با Gemini را در گروههای APT از بیش از 20 کشور شناسایی کرده است، اما برجستهترین آنها از ایران و چین بودهاند.
یکی از موارد رایج استفاده از Gemini شامل کمک به انجام وظایف کدنویسی برای توسعه ابزارها و اسکریپتها، تحقیق درباره آسیبپذیریهای عمومی، بررسی فناوریهای مختلف، یافتن اطلاعات درباره سازمانهای هدف و جستجوی روشهایی برای دور زدن شناسایی، افزایش سطح دسترسی یا انجام شناسایی داخلی در شبکههای در معرض خطر بوده است.
گوگل میگوید که گروههای APT از ایران، چین، کره شمالی و روسیه همگی با Gemini آزمایشهایی انجام دادهاند تا پتانسیل این ابزار را برای کشف ضعفهای امنیتی، فرار از شناسایی و برنامهریزی فعالیتهای پس از نفوذ بررسی کنند.
گروههای هکری ایرانی بیشترین استفاده را از Gemini داشتهاند و از آن برای طیف وسیعی از فعالیتها، از جمله شناسایی سازمانهای دفاعی و کارشناسان بینالمللی، تحقیق درباره آسیبپذیریهای شناختهشده، توسعه کمپینهای فیشینگ و تولید محتوا برای عملیات نفوذ استفاده کردهاند. آنها همچنین از این ابزار برای ترجمه و توضیحات فنی در زمینه امنیت سایبری و فناوریهای نظامی، از جمله پهپادها و سیستمهای دفاع موشکی، بهره بردهاند.
هکرهای وابسته به چین از Gemini عمدتاً برای شناسایی سازمانهای نظامی و دولتی ایالات متحده، تحقیق درباره آسیبپذیریها، کدنویسی برای حرکت جانبی در شبکه و افزایش سطح دسترسی، و فعالیتهای پس از نفوذ مانند دور زدن شناسایی و حفظ حضور در شبکه استفاده کردهاند. آنها همچنین به دنبال روشهایی برای دسترسی به Microsoft Exchange از طریق هشهای رمز عبور و مهندسی معکوس ابزارهای امنیتی مانند Carbon Black EDR بودهاند.
گروههای هکری کره شمالی از Gemini برای حمایت از چندین مرحله از چرخه حمله استفاده کردهاند، از جمله تحقیق درباره ارائهدهندگان هاست رایگان، انجام شناسایی روی سازمانهای هدف و کمک به توسعه بدافزار و تکنیکهای دور زدن شناسایی. بخش قابل توجهی از فعالیت آنها روی برنامه استخدام مخفیانه متخصصان فناوری اطلاعات برای شرکتهای غربی با هویتهای جعلی متمرکز بوده است.
هکرهای روسی کمترین تعامل را با Gemini داشتهاند و بیشتر استفاده آنها شامل کمک به اسکریپتنویسی، ترجمه و تولید محتوای مخرب بوده است. فعالیتهای آنها شامل بازنویسی بدافزارهای عمومی به زبانهای برنامهنویسی مختلف، افزودن قابلیتهای رمزگذاری به کدهای مخرب و درک عملکرد برخی از بدافزارهای عمومی موجود بوده است. استفاده محدود آنها ممکن است نشاندهنده ترجیح مدلهای هوش مصنوعی داخلی روسیه یا اجتناب از پلتفرمهای غربی به دلایل امنیت عملیاتی باشد.
گوگل همچنین اعلام کرده که در برخی موارد، این گروهها سعی کردهاند از روشهای موسوم به jailbreak عمومی برای دور زدن محدودیتهای Gemini یا تغییر فرمولبندی درخواستهای خود برای عبور از تدابیر امنیتی این پلتفرم استفاده کنند، اما این تلاشها ناموفق بوده است.
در اکتبر 2024، OpenAI نیز گزارشی مشابه منتشر کرد که نشان میداد گروههای تهدید از ChatGPT برای اهداف مشابه سوءاستفاده میکنند. گزارش اخیر گوگل تأییدی بر سوءاستفاده گسترده از ابزارهای هوش مصنوعی مولد توسط گروههای تهدید در سطوح مختلف است.
در حالی که سوءاستفاده از هوش مصنوعی یک نگرانی جدی است، بازار این فناوری به سرعت در حال پر شدن از مدلهایی است که تدابیر امنیتی ضعیفی دارند و از سوءاستفادههای احتمالی جلوگیری نمیکنند. برخی از این مدلها که محدودیتهای آنها بهسادگی قابل دور زدن هستند، بهطور فزایندهای در حال محبوب شدن هستند.
شرکت اطلاعات سایبری KELA اخیراً جزئیاتی درباره ضعف تدابیر امنیتی مدلهای DeepSeek R1 و Qwen 2.5 از Alibaba منتشر کرده که در برابر حملات تزریق درخواست آسیبپذیر هستند و میتوانند بهراحتی برای اهداف مخرب مورد سوءاستفاده قرار گیرند.
محققان Unit 42 نیز روشهای مؤثری برای دور زدن محدودیتهای DeepSeek R1 و V3 ارائه دادهاند و نشان دادهاند که این مدلها بهراحتی قابل سوءاستفاده برای مقاصد نادرست هستند.