Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Dalış Özeti:
- Google Çarşamba günü yaptığı açıklamada, siber tehdit aktörlerinin son zamanlarda kötü amaçlı yazılım geliştirmek için yapay zekayı kullanmaya başladıklarını ve bu teknolojinin bilgisayar korsanlığı ekosistemindeki rolünün dramatik bir şekilde evrimleştiğini söyledi.
- Yeni kötü amaçlı yazılım türleri, saldırı aşamasında gerçek zamanlı olarak büyümek ve değişmek için yapay zekayı kullanıyor ve potansiyel olarak tespit ve savunmayı çok daha zor hale getiriyor. Google’ın tehdit istihbaratı araştırmacıları bir raporda şunları söyledi:.
- Son trend, saldırganlar ve savunucular arasındaki yapay zeka silahlanma yarışının en son aşamasını temsil ediyor.
Dalış Bilgisi:
Geçtiğimiz birkaç yılda araştırmacılar, bilgisayar korsanlarının yapay zekayı, kötü amaçlı yazılım oluşturma asistanından çok kimlik avı tuzaklarını geliştirmek için kullandığını tutarlı bir şekilde keşfetti. Uzmanlar, AI kötü amaçlı yazılım araç kitlerinin karanlık ağda bulunduğunu, ancak bunların teknolojinin en yaygın veya endişe verici kullanımını temsil etmediğini söyledi. Ancak Google’ın yeni bulguları, yapay zekanın hücumdaki rolünün yeni bir aşamaya girebileceğini gösteriyor.
Google’ın bildirdiğine göre, yeni keşfedilen beş kötü amaçlı yazılım ailesi (FRUITSHELL, PROMPTFLUX, PROMPTSTEAL, PROMPTLOCK ve QUIETVAULT), kodlarını güvenlik yazılımından gizleme, talep üzerine saldırı yetenekleri oluşturma ve dinamik olarak komut dosyaları oluşturma gibi yeni yapay zeka destekli yetenekler sergiliyor. Google, “Bu henüz yeni doğmakla birlikte, daha otonom ve uyarlanabilir kötü amaçlı yazılımlara doğru atılmış önemli bir adımı temsil ediyor” dedi.
PROMPTFLUX, tespit edilmeyi daha iyi önlemek amacıyla kendi kodunu yeniden oluşturmak için Google’ın Gemini AI’sını kullanıyor ve yeni yeniden oluşturulan dosyayı Windows’un Başlangıç klasöründe saklıyor. Kötü amaçlı yazılımın bir sürümü Gemini’yi kullanarak kaynak kodunun tamamını her saat başı yeniden yazdı. Google, “Bu tür gizleme tekniği, kötü niyetli operatörlerin AI ilerledikçe kampanyalarını nasıl artıracaklarının erken ve önemli bir göstergesidir” dedi. Şirket, PROMPTFLUX’u belirli bir tehdit aktörüne atfetmedi ancak kötü amaçlı yazılımı düşürmek için kullanılan dosyaların adlarının “mali motivasyona sahip aktörlerin” davranışlarıyla tutarlı olduğunu söyledi.
Şu anda PROMPTFLUX’un kodu, etkin olmayan bileşenler ve Gemini API ile etkileşimini sınırlandıran bir özellik içeriyor; bu da geliştirme aşamasında olduğunu gösteriyor. Google, PROMPTFLUX’un tek başına sistemleri hackleyemeyeceğini ekleyerek “bu etkinlikle ilişkili varlıkları devre dışı bırakmak için harekete geçtiğini” söyledi.
Bu arada PROMPTSTEAL, büyük bir dil modelini (LLM) sorgulamak ve hedef sistemlerden bilgi toplayan ve çalan kısa Windows komutları oluşturmak için Hugging Face’in platformunu kullanıyor. Yazılım, arka planda keşif komutları oluşturup yürüten bir görüntü oluşturma aracı kılığına giriyor. Kötü amaçlı yazılım, komutları gerçekleştirmek için dinamik olarak yeni komut dosyaları oluşturarak, bilgisayar korsanlarının belirli kod parçacıklarını arayan savunucuları uyarmadan hedef makinede aktif kalmasına yardımcı olabilir.
Google, ülkenin GRU askeri istihbarat teşkilatına bağlı Rusya bağlantılı bir grup olan APT28’in Ukrayna’da PROMPTSTEAL kullandığını gözlemlediğini söyledi. O ülkedeki yetkililer daha önce rapor edilmiş kötü amaçlı yazılımın görünümü hakkında. Google, bu saldırıların, kötü amaçlı yazılımların bir yüksek lisans eğitimini sorguladığını ilk kez gördüğünü söyledi.
Google, “Yeni yapay zeka tekniklerinin bazı yeni uygulamaları deneysel olmasına rağmen, tehditlerin nasıl geliştiğine ve yapay zeka yeteneklerini potansiyel olarak gelecekteki izinsiz giriş faaliyetlerine nasıl entegre edebileceklerine dair erken bir gösterge sağlıyor” dedi.
Yapay zekanın kötü amaçlı yazılımlarda yeni keşfedilen kullanımları, savunucuların geleneksel statik algılama araçlarını daha geniş bir anormal etkinlik yelpazesini tanımlayabilen yazılımlarla değiştirmesi ihtiyacını vurguluyor.
Google araştırmacıları, “Saldırganlar, teknik destek için yapay zeka araçlarını kullanma konusunda 2024’te gözlemlenen temel çizginin ve ‘titreşim kodlamasının’ ötesine geçiyor” diye yazdı. “Bu tür faaliyetleri henüz yeni görmeye başlıyoruz, ancak gelecekte artmasını bekliyoruz.”
Tehdit aktörleri yapay zekayı başka amaçlar için de kullanmaya devam ediyor. Google raporu, Gemini’yi “cezbedici içerik oluşturmak, teknik altyapı oluşturmak ve veri sızdırma araçları geliştirmek” için kullanan Çin bağlantılı bir grubu tanımladı. Tehdit aktörü, Gemini’nin kötü niyetli kullanıma karşı korumasını aşmak için, bayrağı ele geçirme tatbikatına katılımcı gibi davrandı ve Gemini’yi “güvenlik ihlali amacıyla kötüye kullanılabilecek yararlı bilgiler” sağlamaya ikna etti. [targeted] sistem.” Çin bağlantılı aktör daha sonra CTF hilesini gelecekteki Gemini istemlerinin çoğunda kullandı.
Diğer ulus devlet grupları o kadar şanslı değildi. İran bağlantılı bir bilgisayar korsanlığı grubu, Gemini’yi özel kötü amaçlı yazılım geliştirmek için kullanmaya çalıştı, ancak bunu yaparken, komuta ve kontrol sunucusunun alanı da dahil olmak üzere operasyonları hakkında Google’ın faaliyetlerini kesintiye uğratmasına yardımcı olan bilgileri açığa çıkardı.