Google Tehdit İstihbarat Grubu (GTIG), Çin, İran, Kuzey Kore ve Rusya hükümetleri adına çalışan ulus devlet destekli ileri kalıcı tehdit (APT) operasyonlarının nasıl kötüye kullanılmaya çalıştığını ortaya koyan yeni bilgiler yayınladı. İkizler Yapay Zeka (AI) aracı.
Google, en az 20 ülkeden hükümet aktörlerinin Çin ve İran merkezli gruplardan kaynaklanan en yüksek kullanım hacmine sahip İkizler kullandığını söyledi.
Bu aktörler, altyapı ve sözde kurşun geçirmez barındırma hizmetleri ve sözde hedefleri yeniden denetlemekten, güvenlik açıklarını, geliştirme yüklerini araştırmaya ve kötü niyetli komut dosyası ve konvompromise sonrası evasion tekniklerine yardımcı olmaktan, saldırı zincirlerinin birden fazla aşamasını desteklemek için İkizler kullanmaya çalıştılar.
İkizler’in en ağır “kullanıcıları” gibi görünen İranlılar, bunu savunma organizasyonları, güvenlik açıkları ve kimlik avı kampanyaları, genellikle siber güvenlik temaları için içerik yaratmak için kullanma eğilimindedir. Hedefleri her zaman İran’ın Orta Doğu komşuları ve bölgedeki ABD ve İsrail çıkarları ile bağlantılıdır.
Çin aptleri ise, keşif, komut dosyası ve geliştirme, kod sorun giderme ve yanal hareket, ayrıcalık artış ve veri açığa vurma ve fikri mülkiyet (IP) hırsızlığı gibi konuları araştırmak için aracı tercih eder.
Çin’in hedefleri genellikle ABD ordusu, hükümet BT sağlayıcıları ve istihbarat topluluğudur.
Kuzey Kore ve Rus grupları İkizler kullanımlarında daha sınırlıdır, Kuzey Koreliler kripto para birimi varlıklarının çalınması da dahil olmak üzere rejime ilgi duyan konulara sadık kalma ve Pyongyang’ın Clandestine’i yerleştirdiği devam eden bir kampanyayı destekleme eğilimindedir. Hedef organizasyonlarda ‘sahte’ BT yüklenicileri.
Kodlama görevleri
Aracın Rus kullanımı şu anda sınırlıdır ve esas olarak şifreleme işlevleri eklemek de dahil olmak üzere kodlama görevlerine odaklanmaktadır – muhtemelen Rus devleti ve finansal olarak motive olmuş fidye yazılımı çeteleri arasındaki uyarı bağlantılarının kanıtı.
Google ekibi, “Endüstri akranlarımızla tutarlı bulgularımız, AI’nın tehdit aktörleri için yararlı bir araç olsa da, henüz bazen tasvir edildiği oyun değiştirici olmadığını ortaya koyuyor” dedi.
“Sorun giderme, araştırma ve içerik üretimi gibi ortak görevleri yerine getirmek için üretken AI kullanan tehdit aktörlerini görsek de, yeni yetenekler geliştirdiklerinin göstergelerini görmüyoruz.
“Yetenekli aktörler için, üretken AI araçları, siber tehdit faaliyetlerinde metasploit veya kobalt grevinin kullanımına benzer şekilde yararlı bir çerçeve sağlar. Daha az yetenekli aktörler için, bir öğrenme ve üretkenlik aracı sağlarlar, bu da daha hızlı araçlar geliştirmelerini ve mevcut teknikleri dahil etmelerini sağlarlar.
“Bununla birlikte, mevcut LLM’lerin kendi başlarına tehdit aktörleri için atılım yeteneklerini mümkün kılması pek olası değildir. AI manzarasının her gün yeni AI modelleri ve aracı sistemleri ile sabit akışta olduğunu not ediyoruz. Bu evrim ilerledikçe, GTIG, tehdit aktörleri operasyonlarında yeni AI teknolojileri benimsediğinden, tehdit manzarasının adımda gelişmesini bekliyor. ”
Bununla birlikte, GTIG, Gemini’nin yerleşik korkuluklarını atlamaya çalışmak için halka açık jailbreak istemlerini kullanarak tehdit aktörlerinin düşük çaba denemeleri yürüttüğü “avuç” vakaları gözlemlediğini söyledi. .
Bir örnekte, bir APT aktörünün herkese açık olarak mevcut istemleri Gemini’ye kopyaladığı ve bunları bir dosyadan metnin nasıl kodlayacağına dair temel talimatları eklediği ve bir yürütülebilir dosyaya yazdığı gözlemlendi. Bu durumda Gemini, Base64’ü Hex’e dönüştürmek için Python kodu sağladı, ancak kullanıcı daha sonra reddettiği bir VBScript ile aynı kodu talep ettiğinde güvenlik geri dönüş yanıtları başladı.
Aynı grup, Dağıtılmış Bir Hizmet Reddi (DDOS) aracının oluşturulmasında kullanım için Python kodu talep etmeye çalışırken gözlemlendi, Gemini’nin yardımcı olmayı reddettiği bir istek. Tehdit oyuncusu oturumu terk etti.
GTIG ekibi, “Bazı kötü niyetli aktörler, Gmail için gelişmiş kimlik avı teknikleri, bir krom infostealer kodlayan yardım ve Google’ın hesap oluşturma doğrulama yöntemlerini atlama yöntemleri gibi Google ürünlerini kötüye kullanma konusunda rehberlik için başarısız bir şekilde teşvik etmeye çalıştılar” dedi.
“Bu girişimler başarısız oldu. İkizler, başarılı bir kötü amaçlı kampanyada makul bir şekilde kullanılabilecek kötü amaçlı yazılım veya başka bir içerik üretmedi. Bunun yerine, yanıtlar güvenlik kılavuzlu içerik ve kodlama ve siber güvenlik konusunda genellikle yararlı, tarafsız tavsiyelerden oluşuyordu.
“Google ve kullanıcılarımızı korumak için sürekli çalışmalarımızda, tehdit aktörlerinin ya yeteneklerini genişlettiklerini ya da Google’ın savunmalarını atlama çabalarında daha iyi başarılı olduklarını görmedik” diye eklediler.
Tam araştırma dosyası Google’dan indirilebilir.