Nylige resultater fra Google Threat Intelligence Group afsløre det overstået 57 særskilte cybertrusselsaktører med bånd til Kina, Iran, Nordkorea, og Rusland udnytter kunstig intelligens (AI) teknologi, især Googles AI-modeller, at forbedre deres ondsindede cyber- og informationsoperationer. Denne voksende tendens afslører AIs stigende rolle i cyberkrigsførelse og spionage.
Ifølge en ny rapport fra Google Threat Intelligence Group (GTIG), trusselsaktører har integreret Gemini i deres operationer for at forbedre effektiviteten i stedet for at skabe helt nye muligheder. Disse enheder bruger primært AI til forskning, fejlretningskode, og generere samt lokalisere indhold (GTIG, 2024).
AI i cyberangrebscyklusser
Statssponserede hackergrupper, almindeligvis omtalt som Avancerede vedvarende trusler (APT'er), er fundet ved hjælp af AI til at optimere flere angrebsfaser. Disse omfatter kodning og scripting, udvikling af nyttelast, rekognoscering af potentielle mål, analysere offentligt kendte sårbarheder, og eksekvering af post-kompromisstrategier, såsom at undgå opdagelse og sikkerhedsforsvar (GTIG, 2024).
Iranske APT'er: De mest aktive brugere af kunstig intelligens
GTIG identificerede iranske APT-grupper som de hyppigste brugere af Googles AI-værktøjer. Især, APT42, ansvarlig for over 30% af Gemini-relateret aktivitet, der stammer fra Iran, har udnyttet AI til at orkestrere phishing-angreb, føre overvågning af forsvarsorganisationer og eksperter, og skabe indhold relateret til cybersikkerhed.
APT42, som overlapper med andre hacking-kollektiver som Charming Kitten og Mint Sandstorm, er kendt for sofistikerede social engineering-taktikker, der sigter på at infiltrere netværk og cloud-miljøer. I maj 2023, cybersikkerhedsfirmaet Mandiant afslørede gruppens bestræbelser på at målrette vestlige og mellemøstlige ngo'er, medier, akademiske institutioner, advokatfirmaer, og aktivister ved at udgive sig som journalister og eventkoordinatorer (ifølge Mandiant, 2023).
Ud over cyberspionage, Iranske hackere har også udforsket kunstig intelligens for at studere militær- og våbensystemer, analysere strategiske tendenser i Kinas forsvarsindustri, og forstå amerikansk fremstillede rumfartsteknologier.
Kinas brug af kunstig intelligens i cyberspionage
Kinesiske APT'er er blevet observeret, der udnytter AI til rekognosceringsformål, fejlfinding af ondsindet kode, og raffinering af deres netværkspenetrationsteknikker. Konkret, de har udforsket AI-drevne metoder til lateral bevægelse, privilegium eskalering, dataudfiltrering, og stealth-operationer med det formål at undgå opdagelse.
russiske og nordkoreanske APT'er’ AI taktik
Russiske statsstøttede hackere har primært brugt Gemini til at ændre offentligt tilgængelig malware, oversættelse af kode til forskellige programmeringssprog og indlejring af krypteringslag for ekstra sløring.
I mellemtiden, Nordkoreanske trusselsaktører har taget en unik tilgang, bruge Googles AI-platform til at indsamle efterretninger om infrastruktur- og hostingudbydere. En særlig bekymrende tendens er deres brug af kunstig intelligens til at udarbejde jobansøgninger og undersøge beskæftigelsesmuligheder i vestlige teknologivirksomheder. Ifølge GTIG, en nordkoreansk hackergruppe brugte Gemini til at oprette følgebreve, udkast til jobforslag, og indsamle oplysninger om lønninger og jobbeskrivelser, sandsynligvis vil lette hemmelige it-placeringer i udenlandske virksomheder.
Fremkomsten af ondsindede AI-modeller
Ud over Gemini, cybersikkerhedssamfundet har identificeret underjordiske fora, der fremmer uetiske AI-drevne værktøjer designet til at omgå sikkerhedsforanstaltninger. Nogle af de mest berygtede modeller inkluderer WormGPT, WolfGPT, EscapeGPT, SvigGPT, og GhostGPT. Disse modeller er udviklet specifikt til at generere meget overbevisende phishing-e-mails, lette erhvervsmæssig e-mail-kompromis (BEC) angreb, og udvikle svigagtige websteder.
Indflydelsesoperationer og AI-drevet desinformation
Trusselsgrupper fra Iran, Porcelæn, og Rusland har også bevæbnet kunstig intelligens til propagandakampagner, bruge det til real-time hændelsesanalyse, skabelse af indhold, oversættelse, og lokalisering for at sprede desinformation. Samlet, APT-skuespillere fra over 20 lande har engageret sig med Gemini i forskellige egenskaber.
Googles modforanstaltninger og opfordring til samarbejde
Som svar på denne udvikling, Google har proaktivt implementeret forsvar for at forhindre misbrug, herunder modforanstaltninger mod hurtige injektionsangreb. Teknikgiganten har også understreget behovet for stærkere samarbejde mellem den offentlige og private sektor for at styrke cybersikkerhedsresiliens. Som en del af denne indsats, Google understregede vigtigheden af samarbejde mellem amerikansk industri og regering for at styrke national og økonomisk sikkerhed.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: