به گزارش جماران، هکرهای کره شمالی به دلیل حملات سایبری خود علیه کشورهای متخاصم با دولت خود مشهور هستند و در آخرین حادثه ثبت شده، گروهی از هکرها که به نام «کیمسوکی» (Kimsuky) شناخته می شوند، از ربات هوش مصنوعی معروف «چت جی پی تی» برای ایجاد هویت های نظامی کره جنوبی جعلی استفاده کردند.
به گفته شرکت امنیت سایبری کره جنوبی «جینیانس» (Genians)، آنها این هویت ها را با ایمیل های کلاهبرداری پیوست کردند که ادعا می کردند از طرف یک موسسه دفاعی کره جنوبی مسئول صدور کارت های شناسایی مرتبط با نظامیان صادر شده است.
شایان ذکر است که گروه کیمسوکی با چندین کمپین جاسوسی علیه افراد و سازمان ها در کره جنوبی، ژاپن و ایالات متحده مرتبط است و در سال 2020، وزارت امنیت داخلی آمریکا اعلام کرد که این گروه به احتمال زیاد از سوی حکومت کره شمالی ماموریت دارد تا اطلاعات اطلاعاتی را در سطح جهانی جمع آوری کند.
از ابزارهای هوش مصنوعی تا ابزارهای هک
اگرچه«چت جی پی تی» از ایجاد هویت های دولتی رسمی جلوگیری می کند، اما شرکت «جینیانس»توضیح داد که هکرها توانسته اند مدل هوش مصنوعی را فریب دهند و آن را متقاعد کنند که هدف آنها طراحی یک مدل برای اهداف قانونی است، نه اینکه بگویند این یک کارت شناسایی نظامی واقعی است.
از سوی دیگر، شرکت «آنتروپیک» (Anthropic) ذکر کرد که این هکرها از ابزار «کلود» (Claude) برای به دست آوردن مشاغل در شرکت های فناوری بزرگ آمریکایی استفاده کرده اند، جایی که از «کلود» در تهیه رزومه و پرونده های حرفه ای متقاعد کننده و عبور از آزمون های برنامه نویسی و حتی انجام وظایف فنی واقعی پس از استخدام استفاده کردند.
به گزارش بی بی سی این شرکت گفت که موردی را شناسایی کرده است که به نام «هک جو عمومی» (vibe hacking) شناخته می شود، جایی که از هوش مصنوعی خود برای نوشتن کدهایی استفاده می شود که قادر به هک کردن حداقل 17 طرف مختلف هستند، از جمله مؤسسات دولتی، و این شرکت توضیح داد که هکرها از هوش مصنوعی به درجه ای بی سابقه برای اتخاذ تصمیمات تاکتیکی و استراتژیک استفاده کرده اند، مانند تعیین داده هایی که باید سرقت شوند و نحوه تدوین مطالبات اخاذی، تا جایی که این ابزار مبالغ باج را نیز پیشنهاد کرده است که باید درخواست شود.
«الینا تیموفیوا»، مشاور در زمینه جرایم سایبری و هوش مصنوعی، هشدار داد: «استفاده از هوش مصنوعی زمان مورد نیاز برای بهره برداری از آسیب پذیری های امنیت سایبری را به میزان قابل توجهی کاهش می دهد.» وی افزود: «استراتژی های شناسایی و رسیدگی باید به یک روش پیشگیرانه و محافظتی تبدیل شوند، نه فقط واکنشی پس از وقوع آسیب.»
در پستی در پلتفرم تحلیل بدافزار ابری «آنی ران» (ANY.RUN)، مائورو الدریچ، تحلیلگر اطلاعات تهدیدات سایبری، توضیح داد که یک گروه تهدید کره شمالی معروف به «فیموس کولیما» (Famous Chollima) یک بدافزار جدید به نام «پایلنگ گاست رت» (PyLangGhost RAT) ایجاد کرده است که به زبان پایتون نوشته شده و دارای قابلیت های پشتیبانی شده توسط هوش مصنوعی است و قادر به سرقت داده های حساس از دستگاه های قربانیان، مانند رمزهای عبور، کلیدهای کیف پول ارزهای دیجیتال و اطلاعات ذخیره شده در افزونه های مرورگر است، که آن را به ویژه برای کارکنان بخش فناوری و امور مالی دیجیتال خطرناک می کند.
قابل توجه است که این نوع حمله از طریق روش های سنتی انجام نشده است، بلکه به شکل مصاحبه های شغلی جعلی بوده است، به طوری که هکرها با مهندسان یا توسعه دهندگان از طریق اینترنت تماس می گیرند و آنها را به فرصت های شغلی وسوسه انگیز امیدوار می کنند، سپس آنها را متقاعد می کنند که فایل ها یا ابزارهای آلوده به بدافزار را بارگیری کنند، و به این ترتیب می توانند به سیستم مورد نظر نفوذ کرده و داده های مورد نیاز خود را جمع آوری کنند.
وب سایت «ذا هکر نیوز» گزارش داد که هکرهای کره شمالی یک کمپین هماهنگ را علیه نمایندگی های دیپلماتیک در کره جنوبی بین ماه های مارس و ژوئیه آغاز کردند و این کمپین شامل 19 پیام فیشینگ بود که ادعا می کردند متعلق به یک نهاد دیپلماتیک معتبر هستند با هدف فریب کارکنان سفارتخانه ها و وزارت امور خارجه.
به گفته محققان شرکت «تریلیکس» (Trellix)، مهاجمان از پلتفرم «گیت هاب» (GitHub) - که یک پلتفرم امن برای توسعه دهندگان است - به عنوان یک کانال مخفی برای کنترل و نظارت بر حملات استفاده کردند، همچنین از خدمات ذخیره سازی ابری معتبر مانند «دراپ باکس» (Dropbox) و «دوم کلود» (Daum Cloud) برای انتشار نسخه ای از یک بدافزار جاسوسی متن باز به نام «زنو رت» (Xeno RAT) استفاده کردند که به آنها امکان می دهد سیستم های هک شده را کنترل کنند.
اعتقاد بر این است که این کمپین توسط گروه هک کره شمالی کیمسوکی انجام شده است که با حملات فیشینگ مشابهی که اخیراً رخ داده و به گیت هاب برای انتشار نسخه دیگری از زنو رت متکی بوده اند، مرتبط است، و علیرغم شباهت در ساختار و تاکتیک ها، نشانه هایی وجود دارد که برخی از پیام های فیشینگ ممکن است با طرف های چینی مرتبط باشند.
هکرهای چینی هم در این امر دخیل هستند
سازمان مردم نهاد «انتروپیک» اظهار داشت که یک هکر چینی بیش از 9 ماه است که از ابزار کلود به عنوان دستیار اصلی در حملات سایبری استفاده می کند که شرکت های مخابراتی بزرگ ویتنام، سیستم های کشاورزی و پایگاه های داده های دولتی را هدف قرار می دهد. این شرکت توضیح داد که این هکر در طول کمپین خود به عنوان مشاور فنی، توسعه دهنده نرم افزار و تحلیلگر امنیتی به کلود تکیه کرده است.
در گزارش دیگری که در ژوئن گذشته منتشر شد، «اوپن ای آی» فاش کرد که هکرهای چینی برای حمایت از کمپین های خود به چت جی پی تی متوسل شده اند و از آن خواسته اند تا کدهای سفارشی را برای آزمایش رمزهای عبور متعدد (حمله بروت فورس) بنویسد - حمله ای که بر متون برنامه نویسی تکیه دارد که هزاران نام کاربری و رمز عبور را حدس می زند تا یکی از آنها موفق شود - همچنین از آن برای جستجوی اطلاعات در مورد شبکه های دفاعی آمریکا، سیستم های ماهواره ای و کارت های شناسایی دولتی استفاده کردند.
این گزارش همچنین به یک حمله سایبری چینی اشاره کرد که در آن از چت جی پی تی برای ایجاد پست هایی در سایت های اجتماعی استفاده شد که هدف آن ایجاد تفرقه در سیاست آمریکا بود، از جمله تصاویر نمایه جعلی برای نشان دادن اینکه حساب ها متعلق به افراد واقعی است.
این موضوع فقط به کلود و چت جی پی تی محدود نشد، بلکه هکرهایی از کره شمالی و چین برنامه «جمنای» گوگل را برای گسترش دامنه عملیات خود آزمایش کردند. گوگل در گزارشی که در ژانویه گذشته منتشر شد، اظهار داشت که گروه های چینی از برنامه چت خودکار برای کشف و اصلاح خطاها در کدهای برنامه نویسی و دستیابی به دسترسی عمیق تر به شبکه های هدف استفاده کرده اند، در حالی که هکرهایی از کره شمالی از آن برای تهیه نامه های معرفی جعلی و جستجوی شغل در بخش فناوری استفاده کردند.
جان هالتکویست، تحلیلگر ارشد در تیم اطلاعات تهدیدات گوگل، گفت: «مهاجمان تقریبا 6 سال است که از هوش مصنوعی مولد استفاده می کنند.» وی افزود: «هوش مصنوعی به طور گسترده در طرح های استخدام کارمندان در فناوری اطلاعات استفاده می شود، زیرا آنها برای جستجوی شغل، ایجاد رزومه، انجام مکاتبات و حتی ایجاد هویت های جعلی به آن تکیه می کنند.»
هوش مصنوعی عملیات هک را تسهیل می کند
یووال فیرنباخ، مدیر ارشد فناوری در عملیات یادگیری ماشین در شرکت «جی فراگ» (JFrog)، اظهار داشت که هکرها از مدل های هوش مصنوعی برای نفوذ به شرکت ها استفاده می کنند. فیرنباخ گفت: «ما شاهد حملات بسیاری هستیم، زیرا کدهای مخرب را می توان به راحتی در داخل مدل های زبانی متن باز پنهان کرد و معمولا هکرها دستگاه ها را قفل می کنند، اطلاعات را می دزدند یا خروجی یک وب سایت یا ابزار خاص را تغییر می دهند.»
از سوی دیگر، عملیات جعل عمیق و کلاهبرداری که شرکت ها را هدف قرار می دهد افزایش یافته است. راب دانکان، معاون استراتژی در شرکت «نت کرافت» (Netcraft)، اظهار داشت که از افزایش قابل توجه حملات فیشینگ سفارشی شده علیه شرکت های کوچک تعجب نمی کند. وی گفت:«ابزارهای هوش مصنوعی این فرصت را حتی به کلاهبردار مبتدی با تجربه فنی محدود داده است تا تصویر برند را شبیه سازی کند و پیام های کلاهبرداری قانع کننده و دقیقی را در عرض چند دقیقه بنویسد.» وی افزود: «با استفاده از ابزارهای ارزان قیمت، مهاجمان می توانند هویت کارمندان را جعل کنند، مشتریان را فریب دهند یا هویت شرکا را از طریق روش های مختلف جعل کنند.»