Hacker aus China, Nordkorea, Iran und Russland nutzen Googles KI für Cyber-Operationen

Googles Threat Intelligence Group (GTIG) hat eine Warnung herausgegeben, dass Cyberkriminelle aus China, Iran, Russland und Nordkorea sowie aus über einem Dutzend anderer Länder die KI-Anwendung Gemini nutzen, um ihre Hacking-Fähigkeiten zu verbessern.

Laut dem am Mittwoch veröffentlichten TIG-Bericht von Google haben staatlich unterstützte Hacker den Gemini-Chatbot verwendet, um ihre Produktivität in der Cyber-Spionage, Phishing-Kampagnen und anderen böswilligen Aktivitäten zu steigern.

Google hat die Gemini-Aktivität untersucht, die mit bekannten APT (Advanced Persistent Threat)-Akteuren verbunden ist, und festgestellt, dass APT-Gruppen aus über zwanzig Ländern große Sprachmodelle (LLMs) hauptsächlich für Forschung, Zielerkundung, die Entwicklung von bösartigem Code und die Erstellung sowie Lokalisierung von Inhalten wie Phishing-E-Mails verwendet haben.

Mit anderen Worten, diese Hacker scheinen Gemini hauptsächlich als Forschungswerkzeug zu nutzen, um ihre Operationen zu verbessern, anstatt völlig neue Hacking-Methoden zu entwickeln.

Derzeit hat kein Hacker Gemini erfolgreich genutzt, um völlig neue Cyberangriffsmethoden zu entwickeln.

„Während KI ein nützliches Werkzeug für Bedrohungsakteure sein kann, ist sie noch nicht der Gamechanger, als der sie manchmal dargestellt wird. Während wir sehen, dass Bedrohungsakteure generative KI verwenden, um gängige Aufgaben wie Fehlersuche, Forschung und Inhaltserstellung durchzuführen, sehen wir keine Hinweise darauf, dass sie neuartige Fähigkeiten entwickeln“, sagte Google in seinem Bericht.

Google verfolgte diese Aktivitäten bei mehr als zehn von Iran unterstützten Gruppen, mehr als zwanzig von China unterstützten Gruppen und neun von Nordkorea unterstützten Gruppen.

Zum Beispiel waren iranische Bedrohungsakteure die größten Nutzer von Gemini und verwendeten es für eine Vielzahl von Zwecken, einschließlich Forschung über Verteidigungsorganisationen, Schwachstellenforschung und Erstellung von Inhalten für Kampagnen.

Insbesondere konzentrierte sich die Gruppe APT42 (die über 30 % der iranischen APT-Akteure ausmachte) darauf, Phishing-Kampagnen zu entwickeln, um Regierungsbehörden und Unternehmen ins Visier zu nehmen, Erkundungen über Verteidigungsexperten und -organisationen durchzuführen und Inhalte mit Cybersicherheitsthemen zu generieren.

Chinesische APT-Gruppen verwendeten Gemini hauptsächlich zur Durchführung von Erkundungen, zum Skripten und Entwickeln, zur Fehlersuche im Code sowie zur Forschung, wie man tiefere Zugriffe auf Zielnetzwerke durch laterale Bewegung, Privilegieneskalation, Datenexfiltration und Erkennungsevasion erlangt.

Nordkoreanische APT-Hacker wurden beobachtet, wie sie Gemini zur Unterstützung mehrerer Phasen des Angriffszyklus verwendeten, einschließlich der Recherche potenzieller Infrastruktur und kostenloser Hosting-Anbieter, der Erkundung von Zielorganisationen, der Entwicklung von Payloads und der Unterstützung bei bösartigen Skripten und Evasionstechniken.

„Bemerkenswert ist, dass nordkoreanische Akteure Gemini auch verwendet haben, um Bewerbungsschreiben zu entwerfen und nach Jobs zu recherchieren – Aktivitäten, die wahrscheinlich Nordkoreas Bemühungen unterstützen würden, geheime IT-Arbeiter in westlichen Unternehmen zu platzieren“, bemerkte das Unternehmen.

„Eine von Nordkorea unterstützte Gruppe nutzte Gemini, um Bewerbungsschreiben und Vorschläge für Stellenbeschreibungen zu entwerfen, recherchierte Durchschnittsgehälter für bestimmte Jobs und fragte nach Jobs auf LinkedIn. Die Gruppe verwendete Gemini auch für Informationen über Austauschprogramme für Mitarbeiter im Ausland. Viele der Themen wären für jeden, der nach Jobs recherchiert und sich bewirbt, üblich.“

Unterdessen zeigten russische APT-Akteure eine begrenzte Nutzung von Gemini, hauptsächlich für Codierungsaufgaben wie die Umwandlung von öffentlich verfügbaren Malware in verschiedene Programmiersprachen und die Integration von Verschlüsselungsfunktionen in bestehenden Code.

Sie haben möglicherweise die Nutzung von Gemini aus Gründen der operativen Sicherheit vermieden und sich entschieden, von westlich kontrollierten Plattformen fernzubleiben, um zu vermeiden, dass ihre Aktivitäten überwacht werden, oder sie verwendeten russische KI-Tools.

Google sagte, die Nutzung von Gemini durch die russische Hackergruppe sei relativ begrenzt gewesen, möglicherweise weil sie versuchte, zu verhindern, dass westliche Plattformen ihre Aktivitäten überwachen oder russische KI-Tools verwenden.

Google sagt, dass es Sicherheitsmaßnahmen implementiert hat, um einen solchen Missbrauch einzudämmen, wie die Entwicklung seiner KI-Systeme mit starken Sicherheitsmaßnahmen und die Störung der Aktivitäten von Bedrohungsakteuren, die Gemini missbraucht haben.

„Wir untersuchen den Missbrauch unserer Produkte, Dienstleistungen, Benutzer und Plattformen, einschließlich böswilliger Cyberaktivitäten von staatlich unterstützten Bedrohungsakteuren, und arbeiten bei Bedarf mit den Strafverfolgungsbehörden zusammen“, sagte das Unternehmen. „Darüber hinaus fließen unsere Erkenntnisse aus der Bekämpfung böswilliger Aktivitäten in die Produktentwicklung ein, um die Sicherheit und den Schutz unserer KI-Modelle zu verbessern.“