Хакеры из Китая, Северной Кореи, Ирана и России используют ИИ Google для кибератак

Группа по борьбе с угрозами Google (GTIG) выпустила предупреждение о киберпреступниках из Китая, Ирана, России и Северной Кореи, а также более чем дюжины других стран, которые используют его приложение искусственного интеллекта (ИИ) Gemini для повышения своих хакерских возможностей.

Согласно отчету TIG Google, опубликованному в среду, спонсируемые государством хакеры использовали чат-бота Gemini для повышения своей продуктивности в кибершпионаже, фишинговых кампаниях и других злонамеренных действиях.

Google изучила активность Gemini, связанную с известными актерами APT (Advanced Persistent Threat), и обнаружила, что группы APT из более чем двадцати стран использовали большие языковые модели (LLM) в основном для исследований, разведки целей, разработки вредоносного кода и создания и локализации контента, такого как фишинговые электронные письма.

Другими словами, эти хакеры, похоже, в первую очередь используют Gemini как инструмент для исследований, чтобы улучшить свои операции, а не для разработки совершенно новых методов взлома.

В настоящее время ни один хакер не смог успешно использовать Gemini для разработки совершенно новых методов кибератак.

«Хотя ИИ может быть полезным инструментом для злоумышленников, он еще не стал тем революционным инструментом, которым его иногда изображают. Хотя мы видим, что злоумышленники используют генеративный ИИ для выполнения общих задач, таких как устранение неполадок, исследования и создание контента, мы не видим признаков того, что они разрабатывают новые возможности», — говорится в отчете Google.

Google отслеживала эту активность более чем у десяти групп, поддерживаемых Ираном, более чем у двадцати групп, поддерживаемых Китаем, и девяти групп, поддерживаемых Северной Кореей.

Например, иранские злоумышленники были крупнейшими пользователями Gemini, используя его для широкого спектра целей, включая исследования оборонительных организаций, исследование уязвимостей и создание контента для кампаний.

В частности, группа APT42 (которая составила более 30% иранских актеров APT) сосредоточилась на создании фишинговых кампаний для нацеливания на государственные учреждения и корпорации, проведении разведки на оборонительных экспертов и организациях, а также генерации контента на темы кибербезопасности.

Китайские группы APT в основном использовали Gemini для проведения разведки, написания и разработки, устранения неполадок в коде и исследования способов получения более глубокого доступа к целевым сетям через боковое перемещение, повышение привилегий, эксфиляцию данных и уклонение от обнаружения.

Хакеры из Северной Кореи были замечены, использующими Gemini для поддержки нескольких этапов жизненного цикла атаки, включая исследование потенциальной инфраструктуры и бесплатных хостинг-провайдеров, разведку целевых организаций, разработку полезной нагрузки и помощь в создании вредоносных скриптов и методов уклонения.

«Стоит отметить, что северокорейские актеры также использовали Gemini для составления сопроводительных писем и исследования вакансий — действий, которые, вероятно, поддержат усилия Северной Кореи по размещению скрытых ИТ-работников в западных компаниях», — отметила компания.

«Одна группа, поддерживаемая Северной Кореей, использовала Gemini для составления сопроводительных писем и предложений для описаний вакансий, исследовала средние зарплаты для конкретных должностей и спрашивала о вакансиях на LinkedIn. Группа также использовала Gemini для получения информации о зарубежных обменах сотрудников. Многие из тем были бы общими для любого, кто исследует и подает заявки на работу.»

Тем временем, российские актеры APT продемонстрировали ограниченное использование Gemini, в основном для задач программирования, таких как преобразование общедоступного вредоносного ПО в различные языки программирования и внедрение функций шифрования в существующий код.

Они могли избегать использования Gemini по соображениям операционной безопасности, предпочитая оставаться вне платформ, контролируемых Западом, чтобы избежать мониторинга своей деятельности или использования российских инструментов ИИ.

Google заявила, что использование Gemini российской хакерской группой было относительно ограниченным, возможно, потому что она пыталась предотвратить мониторинг своих действий со стороны западных платформ или использовать российские инструменты ИИ.

Google сообщает, что она внедряет меры предосторожности, чтобы предотвратить такое злоупотребление, такие как разработка своих ИИ-систем с сильными мерами безопасности и разрушение деятельности злоумышленников, которые злоупотребляли Gemini.

«Мы расследуем злоупотребления нашими продуктами, услугами, пользователями и платформами, включая злонамеренные киберактивности со стороны поддерживаемых государством злоумышленников, и работаем с правоохранительными органами, когда это уместно», — заявила компания. «Более того, наши знания о противодействии злонамеренным действиям возвращаются в нашу разработку продуктов, чтобы улучшить безопасность и защиту наших ИИ-моделей.»