بهمن ۱۶, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

گوگل می‌گوید هکرها از Gemini AI سوءاستفاده می‌کنند تا حملات خود را تقویت کنند.

گوگل می‌گوید هکرها از Gemini AI سوءاستفاده می‌کنند تا حملات خود را تقویت کنند.

چندین گروه تحت حمایت دولت در حال آزمایش دستیار مبتنی بر هوش مصنوعی Gemini از گوگل هستند تا بهره‌وری خود را افزایش دهند و برای تحقیق درباره زیرساخت‌های بالقوه حملات یا شناسایی اهداف استفاده کنند.

گروه اطلاعات تهدیدات گوگل (GTIG) گروه‌های تهدید پایدار پیشرفته (APT) مرتبط با دولت را شناسایی کرده است که از Gemini عمدتاً برای افزایش بهره‌وری استفاده می‌کنند، نه برای توسعه یا اجرای حملات سایبری جدید مبتنی بر هوش مصنوعی که می‌توانند از سد دفاع‌های سنتی عبور کنند.

بازیگران تهدید (هکرها) تلاش کرده‌اند از ابزارهای هوش مصنوعی برای اهداف حمله‌ی خود با درجات مختلفی از موفقیت استفاده کنند، زیرا این ابزارها حداقل می‌توانند دوره‌ی آماده‌سازی را کوتاه‌تر کنند.

گوگل فعالیت‌های مرتبط با Gemini را که به گروه‌های APT (تهدید پایدار پیشرفته) از بیش از ۲۰ کشور وابسته هستند، شناسایی کرده است، اما برجسته‌ترین آن‌ها از ایران و چین بوده‌اند.

از رایج‌ترین موارد، کمک در انجام وظایف کدنویسی برای توسعه ابزارها و اسکریپت‌ها، تحقیق درباره آسیب‌پذیری‌های عمومی افشا شده، بررسی فناوری‌ها (توضیحات، ترجمه)، یافتن جزئیات درباره سازمان‌های هدف، و جستجوی روش‌هایی برای پنهان ماندن، افزایش سطح دسترسی، یا انجام شناسایی داخلی در یک شبکه‌ی نفوذ شده بوده است.

گروه‌های APT که از Gemini استفاده می‌کنند.

گوگل می‌گوید که گروه‌های APT از ایران، چین، کره شمالی و روسیه همگی با Gemini آزمایش‌هایی انجام داده‌اند و در حال بررسی پتانسیل این ابزار برای کمک به کشف شکاف‌های امنیتی، پنهان ماندن از شناسایی، و برنامه‌ریزی فعالیت‌های پس از نفوذ بوده‌اند. این موارد به‌صورت زیر خلاصه می‌شوند:

بازیگران تهدید ایرانی بیشترین استفاده را از Gemini داشته‌اند و از آن برای طیف گسترده‌ای از فعالیت‌ها بهره برده‌اند، از جمله شناسایی سازمان‌های دفاعی و کارشناسان بین‌المللی، تحقیق درباره آسیب‌پذیری‌های عمومی شناخته‌شده، توسعه کمپین‌های فیشینگ و تولید محتوا برای عملیات نفوذ (جنگ روانی). آن‌ها همچنین از Gemini برای ترجمه و توضیحات فنی مرتبط با امنیت سایبری و فناوری‌های نظامی، از جمله پهپادها (UAVs) و سامانه‌های دفاع موشکی استفاده کرده‌اند.

بازیگران تهدید تحت حمایت چین عمدتاً از Gemini برای شناسایی سازمان‌های نظامی و دولتی ایالات متحده، تحقیق درباره آسیب‌پذیری‌ها، اسکریپت‌نویسی برای جابه‌جایی جانبی در شبکه و افزایش سطح دسترسی، و همچنین فعالیت‌های پس از نفوذ مانند پنهان ماندن از شناسایی و حفظ حضور در شبکه‌ها استفاده کرده‌اند. آن‌ها همچنین روش‌هایی برای دسترسی به Microsoft Exchange با استفاده از هش‌های رمز عبور و مهندسی معکوس ابزارهای امنیتی مانند Carbon Black EDR بررسی کرده‌اند.

گروه‌های APT کره شمالی از Gemini برای حمایت از مراحل مختلف چرخه حمله استفاده کرده‌اند، از جمله تحقیق درباره ارائه‌دهندگان هاستینگ رایگان، انجام شناسایی روی سازمان‌های هدف، و کمک به توسعه بدافزار و تکنیک‌های اجتناب از شناسایی. بخش قابل توجهی از فعالیت‌های آن‌ها متمرکز بر طرح پنهان‌کاری کارکنان IT کره شمالی بوده است، و از Gemini برای نوشتن درخواست‌های شغلی، نامه‌های پوششی، و پیشنهادها برای به‌دست آوردن شغل در شرکت‌های غربی تحت هویت‌های جعلی استفاده کرده‌اند.

بازیگران تهدید روسی کمترین تعامل را با Gemini داشتند، و بیشتر استفاده آن‌ها متمرکز بر کمک به اسکریپت‌نویسی، ترجمه و ساخت بارهای مخرب (payload) بود. فعالیت‌های آن‌ها شامل بازنویسی بدافزارهای عمومی موجود به زبان‌های برنامه‌نویسی مختلف، افزودن قابلیت رمزنگاری به کدهای مخرب، و درک چگونگی عملکرد بخش‌های خاصی از بدافزارهای عمومی بود. استفاده محدود ممکن است نشان‌دهنده این باشد که بازیگران روسی مدل‌های هوش مصنوعی توسعه‌یافته در روسیه را ترجیح می‌دهند یا به دلایل امنیتی عملیاتی از پلتفرم‌های هوش مصنوعی غربی اجتناب می‌کنند.

گوگل همچنین اشاره می‌کند که مواردی مشاهده کرده است که در آن‌ها بازیگران تهدید تلاش کرده‌اند از جلبریک‌های عمومی برای دور زدن تدابیر امنیتی Gemini استفاده کنند یا دستورات خود را بازنویسی کرده‌اند تا از تدابیر امنیتی این پلتفرم عبور کنند. گفته شده که این تلاش‌ها ناموفق بوده‌اند.

OpenAI، خالق چت‌بات محبوب هوش مصنوعی ChatGPT، در اکتبر ۲۰۲۴ مشابه این اطلاعیه را منتشر کرد، بنابراین گزارش اخیر گوگل به عنوان تأییدی بر سوءاستفاده گسترده از ابزارهای هوش مصنوعی تولیدی توسط بازیگران تهدید در تمامی سطوح است.

در حالی که جلبریک‌ها و دور زدن تدابیر امنیتی یک نگرانی در محصولات اصلی هوش مصنوعی هستند، بازار هوش مصنوعی به تدریج پر از مدل‌های هوش مصنوعی می‌شود که فاقد محافظت‌های مناسب برای جلوگیری از سوءاستفاده هستند. متأسفانه، برخی از آن‌ها که محدودیت‌هایی دارند که به راحتی می‌توان از آن‌ها عبور کرد، همچنین با افزایش محبوبیت مواجه شده‌اند.

شرکت اطلاعات امنیت سایبری KELA اخیراً جزئیات مربوط به تدابیر امنیتی ضعیف برای DeepSeek R1 و Qwen 2.5 شرکت علی‌بابا را منتشر کرده است، که در برابر حملات تزریق دستور (prompt injection) آسیب‌پذیر هستند و می‌توانند استفاده مخرب از آن‌ها را تسهیل کنند.

محققان Unit 42 همچنین تکنیک‌های مؤثر جلبریک را علیه DeepSeek R1 و V3 نشان دادند و این موضوع را ثابت کردند که این مدل‌ها برای مقاصد شوم به راحتی قابل سوءاستفاده هستند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب