مهاجمان سایبری چگونه از هوش مصنوعی مولد استفاده می‌کنند؟

گروه اطلاعات تهدیدات گوگل (GTIG) به‌تازگی گزارشی درباره سوءاستفاده‌های مخرب از هوش مصنوعی مولد منتشر کرده است.

به گزارش تکراتو و به نقل از infoq، این تیم، درخواست‌هایی را که توسط مهاجمان سایبری پیشرفته (APT) و گروه‌های هماهنگ عملیات اطلاعاتی (IO) استفاده شده‌اند، بررسی کرده و به این نتیجه رسیده که این گروه‌ها تاکنون بهره‌وری خود را افزایش داده‌اند اما هنوز قابلیت‌های جدید و پیشرفته‌ای ایجاد نکرده‌اند.

تیم گوگل تأکید دارد که بسیاری از موارد سوءاستفاده از هوش مصنوعی همچنان در مرحله تحقیقات نظری قرار دارد و در عمل، آن‌طور که تصور می‌شود، تهدید بزرگی محسوب نمی‌شود. در همین راستا، داده‌هایی از تعاملات مهاجمان با مدل هوش مصنوعی Gemini منتشر شده است. تیم GTIG در این گزارش می‌نویسد:

ما هیچ تلاش منحصربه‌فرد یا مداومی از سوی مهاجمان برای اجرای حملات از طریق دستکاری درخواست‌ها یا سایر تهدیدات مبتنی بر یادگیری ماشین که در چارچوب امنیتی SAIF تعریف شده‌اند، مشاهده نکردیم.

در عوض، این افراد از روش‌های ساده‌تر یا درخواست‌های آماده‌ای که در فضای عمومی موجود هستند، استفاده کردند اما در عبور از سیستم‌های ایمنی Gemini ناموفق بودند.

این گزارش به ماهیت دوگانه هوش مصنوعی مولد اشاره دارد؛ از یک‌سو امکان ردیابی سوءاستفاده‌ها را فراهم می‌کند و از سوی دیگر، تهدیدهای جدیدی را که از این فناوری برای مقاصد مخرب بهره می‌برند، آشکار می‌سازد. به گفته تیم تحقیقاتی:

به‌جای ایجاد تغییرات مخرب، هوش مصنوعی مولد به مهاجمان سایبری این امکان را می‌دهد که سریع‌تر و در حجم بالاتر فعالیت کنند. برای مهاجمان ماهر، این ابزارها مشابه Metasploit یا Cobalt Strike عمل می‌کنند و چارچوبی برای انجام حملات فراهم می‌آورند. برای مهاجمان کم‌تجربه‌تر نیز به‌عنوان ابزاری آموزشی و افزایش بهره‌وری عمل کرده و به آن‌ها کمک می‌کند تا تکنیک‌های موجود را سریع‌تر بیاموزند و به کار بگیرند.

بر اساس این گزارش، مهاجمان از هوش مصنوعی برای بهینه‌سازی روش‌هایی مانند فیشینگ، انتشار اطلاعات نادرست و توسعه بدافزارها استفاده می‌کنند.

در همین حال، سیستم‌های دفاعی مبتنی بر هوش مصنوعی نیز با سرعت در حال پیشرفت هستند و به سازمان‌ها کمک می‌کنند تا تهدیدات در حال تکامل را شناسایی و خنثی کنند.

از میان تهدیدات رایج، تلاش برای دور زدن سیستم‌های ایمنی از طریق درخواست‌های دستکاری‌شده بیشترین فراوانی را داشته که مهاجمان در عبور از لایه‌های حفاظتی Gemini ناموفق بوده‌اند.

در این گزارش توضیح داده شده که APT به فعالیت‌های هکری تحت حمایت دولت‌ها اشاره دارد، از جمله جاسوسی سایبری و حملات مخرب به شبکه‌های رایانه‌ای. در مقابل، IO شامل تلاش‌هایی برای تأثیرگذاری فریبکارانه و هماهنگ بر مخاطبان آنلاین است که معمولاً از طریق حساب‌های جعلی و کمپین‌های کامنت‌گذاری هماهنگ انجام می‌شود.

گوگل اعلام کرده که مهاجمان تحت حمایت دولت‌های ایران، چین، کره شمالی و تا حد کمتری روسیه در این فعالیت‌ها نقش دارند. تیم GTIG اضافه می‌کند:

بیشترین میزان استفاده از Gemini مربوط به ایران و چین بوده است. مهاجمان APT از این مدل برای چندین مرحله از چرخه حمله، از جمله تحقیق درباره زیرساخت‌های احتمالی و سرویس‌های میزبانی رایگان، شناسایی سازمان‌های هدف، بررسی آسیب‌پذیری‌ها، توسعه کدهای مخرب و بهینه‌سازی روش‌های دور زدن مکانیزم‌های امنیتی استفاده کرده‌اند.

جاش کامجو، بنیان‌گذار و مدیرعامل Sublime Security، در واکنش به این گزارش می‌گوید:

جالب است که حالا می‌توانیم ارتباط میان فعالیت‌های گروه‌های APT ایرانی و کره شمالی را با حملاتی که در لایه‌های پیشگیری از حملات ایمیلی مشاهده می‌کنیم، ببینیم.

گادوین جاش، یکی از بنیان‌گذاران Altrosyn و مدیر CDTECH، نیز اظهار داشت:

این روند مشابه تکامل بدافزارهاست؛ در ابتدا نسخه‌های اولیه ساده اما مؤثر بودند، اما به‌تدریج پیچیده‌تر شدند. همان‌طور که کدهای چندشکلی زمانی چالش‌های زیادی برای سیستم‌های امنیتی ایجاد کردند، حالا شاهد حملات مبتنی بر هوش مصنوعی هستیم که در لحظه، خود را با سیستم‌های شناسایی وفق می‌دهند.

طبق این گزارش، بازیگران IO از Gemini بیشتر برای تولید محتوا، ساخت شخصیت‌های جعلی، تدوین پیام‌ها و همچنین ترجمه و بومی‌سازی استفاده می‌کنند. در این میان، گروه‌های IO ایرانی مسئول حدود 75 درصد از استفاده‌های مربوط به این بخش بوده‌اند.