OpenAI, Cuma günü, ChatGPT’yi kullanarak ABD’deki yaklaşan başkanlık seçimlerine odaklanan içerikler üreten İran’ın gizli etki operasyonuyla bağlantılı bir dizi hesabı yasakladığını duyurdu.
OpenAI, “Bu hafta, Storm-2035 olarak tanımlanan gizli bir İran etki operasyonu için içerik üreten bir grup ChatGPT hesabını tespit edip kapattık” dedi.
“Operasyon, ABD başkanlık seçimlerinde her iki taraftaki adaylara yönelik yorumlar da dahil olmak üzere çeşitli konulara odaklanan içerikler üretmek için ChatGPT’yi kullandı ve ardından bunları sosyal medya hesapları ve web siteleri aracılığıyla paylaştı.”
Yapay zeka (AI) şirketi, içeriğin anlamlı bir etkileşim elde etmediğini, sosyal medya gönderilerinin çoğunun önemsiz veya hiç beğeni, paylaşım ve yorum almadığını söyledi. Ayrıca, ChatGPT kullanılarak oluşturulan uzun biçimli makalelerin sosyal medya platformlarında paylaşıldığına dair çok az kanıt bulduğunu belirtti.
ABD siyaseti ve küresel olaylara ilişkin yazılar, kendilerini ilerici ve muhafazakar haber kaynakları gibi gösteren beş farklı internet sitesinde yayınlanmıştı; bu da siyasi yelpazenin zıt kutuplarındaki insanları hedef alma girişiminin bir göstergesiydi.
OpenAI, ChatGPT aracının İngilizce ve İspanyolca yorumlar oluşturmak için kullanıldığını ve bunların daha sonra X’teki bir düzine hesaba ve Instagram’daki bir hesaba gönderildiğini söyledi. Bu yorumların bazıları, AI modellerinden diğer sosyal medya kullanıcıları tarafından gönderilen yorumları yeniden yazmaları istenerek oluşturuldu.
OpenAI, “Operasyon birkaç konu hakkında içerik üretti: başlıcaları Gazze’deki çatışma, İsrail’in Olimpiyat Oyunları’ndaki varlığı ve ABD başkanlık seçimleri – ve daha az ölçüde Venezuela’daki siyaset, ABD’deki Latinx topluluklarının hakları (hem İspanyolca hem de İngilizce) ve İskoçya’nın bağımsızlığı” dedi.
“Siyasi içeriklerini moda ve güzellik hakkındaki yorumlarla harmanlayarak muhtemelen daha özgün görünmek veya bir takipçi kitlesi oluşturmak için bunu yaptılar.”
Microsoft’un geçen hafta vurguladığı tehdit faaliyet kümelerinden biri de Storm-2035’ti. Microsoft, bu ağı “ABD başkan adayları, LGBTQ hakları ve İsrail-Hamas çatışması gibi konularda kutuplaştırıcı mesajlarla siyasi yelpazenin karşıt uçlarındaki ABD seçmen gruplarıyla aktif olarak etkileşime giren” bir İran ağı olarak tanımladı.
Grup tarafından kurulan sahte haber ve yorum sitelerinden bazıları arasında EvenPolitics, Nio Thinker, Savannah Time, Teorator ve Westland Sun yer alıyor. Bu sitelerin ayrıca içeriklerinin bir kısmını ABD yayınlarından çalmak için yapay zeka destekli hizmetleri kullandıkları da gözlemlendi. Grubun 2020’den itibaren faaliyete geçeceği söyleniyor.
Microsoft ayrıca son altı ayda hem İran hem de Rus ağlarından ABD seçimlerini hedef alan yabancı kötü niyetli etki faaliyetlerinde artış olduğunu söyledi. Rus ağlarının izleri Ruza Flood (diğer adıyla Doppelganger), Storm-1516 ve Storm-1841 (diğer adıyla Rybar) olarak belirlendi.
Fransız siber güvenlik şirketi HarfangLab, “Doppelganger, uydurma, sahte veya hatta meşru bilgileri sosyal ağlar arasında yayar ve büyütür,” dedi. “Bunu yapmak için, sosyal ağ hesapları nihai içerik web sitelerine giden belirsiz bir yönlendirme zincirini başlatan bağlantılar gönderir.”
Ancak Meta’ya göre, propaganda ağının agresif yaptırımlara yanıt olarak taktiklerini değiştirdiği, giderek daha fazla politik olmayan gönderi ve reklam kullandığı ve tespit edilmekten kaçınmak için Cosmopolitan, The New Yorker ve Entertainment Weekly gibi politik olmayan ve eğlence haber kuruluşlarını taklit ettiği yönünde işaretler var.
Gönderiler, tıklandığında kullanıcıları eğlence veya sağlık yayınlarını taklit eden sahte alan adlarından birinde Rusya savaşı veya jeopolitika ile ilgili bir makaleye yönlendiren bağlantılar içeriyor. Reklamlar, tehlikeye atılmış hesaplar kullanılarak oluşturuluyor.
2017’den bu yana platformları üzerinden Rusya’dan 39, İran’dan 30 ve Çin’den 11 etki operasyonunu aksatan sosyal medya şirketi, 2024’ün ikinci çeyreğinde Rusya’dan (4), Vietnam’dan (1) ve ABD’den (1) altı yeni ağ keşfettiğini söyledi.
“Mayıs ayından bu yana Doppelganger, etki alanlarına bağlantılar paylaşma girişimlerine devam etti, ancak çok daha düşük bir oranda,” dedi Meta. “Ayrıca, TinyURL’nin bağlantı kısaltma hizmeti de dahil olmak üzere birden fazla yönlendirme sıçraması deneyerek, bağlantıların arkasındaki nihai hedefi gizlediklerini ve hem Meta’yı hem de kullanıcılarımızı aldatarak tespit edilmekten kaçınmaya ve insanları platform dışı web sitelerine yönlendirmeye çalıştıklarını gördük.”
Bu gelişme, Google’ın Tehdit Analiz Grubu’nun (TAG) bu hafta, ABD başkanlık seçimleriyle ilişkili olanlar da dahil olmak üzere, İsrail ve ABD’deki yüksek profilli kullanıcıların kişisel hesaplarını ele geçirmeyi amaçlayan İran destekli hedefli kimlik avı çabalarını tespit edip engellediğini açıklamasının ardından geldi.
Etkinlik, İran İslam Devrim Muhafızları Ordusu’na (IRGC) bağlı devlet destekli bir hacker ekibi olan APT42 kod adlı bir tehdit aktörü tarafından gerçekleştiriliyor. Charming Kitten (diğer adıyla Mint Sandstorm) olarak bilinen başka bir saldırı setiyle örtüştüğü biliniyor.
Teknoloji devi, “APT42, e-posta kimlik avı kampanyalarının bir parçası olarak çeşitli farklı taktikler kullanıyor; kötü amaçlı yazılım, kimlik avı sayfaları ve kötü amaçlı yönlendirmeler barındırmak da dahil,” dedi. “Genellikle bu amaçlar için Google (yani Sites, Drive, Gmail ve diğerleri), Dropbox, OneDrive ve diğerleri gibi hizmetleri kötüye kullanmaya çalışıyorlar.”
Genel strateji, hedef kitlenin güvenini kazanmak için gelişmiş sosyal mühendislik teknikleri kullanmak ve onları e-postalarından çıkarıp Signal, Telegram veya WhatsApp gibi anlık mesajlaşma kanallarına yönlendirmek, ardından da giriş bilgilerini toplamak için tasarlanmış sahte bağlantılar göndermektir.
Google, kimlik avı saldırılarının GCollection (diğer adıyla LCollection veya YCollection) ve DWP gibi araçların kullanımıyla Google, Hotmail ve Yahoo kullanıcılarının kimlik bilgilerinin toplanmasıyla gerçekleştiğini belirterek, APT42’nin “hedef aldığı e-posta sağlayıcılarını güçlü bir şekilde anladığını” vurguladı.
“APT42 bir hesaba erişim sağladığında, genellikle kurtarma e-posta adreslerini değiştirmek ve Gmail’de uygulamaya özel parolalar ve Yahoo’da üçüncü taraf uygulama parolaları gibi çok faktörlü kimlik doğrulamayı desteklemeyen uygulamalara izin veren özellikleri kullanmak gibi ek erişim mekanizmaları ekler” diye ekledi.