אוקראינה תקפה בסייבר חברות ביטחון רוסיות עם מסמכים מבוססי AI

קבוצת האקרים פרו-אוקראינית השתמשה במסמכים מזויפים, שנוצרו על ידי AI, כדי לתקוף חברות ביטחוניות ברוסיה. את הממצאים חשף בסוף השבוע סטארט-אפ הסייבר הישראלי אינטזר (Intezer). עולה מהם כי ההאקרים תומכי אוקראיניה תקפו חברות רוסיות שפועלות באזורים הרגישים של הגנה אווירית ואלקטרוניקה.

לפי המחקר, החברות הותקפו תוך שימוש במסמכים מזויפים שנוצרו על ידי בינה מלאכותית. הקמפיין בוצע על ידי קבוצת האקרים פרו-אוקראינית בשם Paper Werewolf (אדם זאב עשוי נייר), שמכונה גם GOFFEE.

החוקרים כתבו ש-"האירוע מדגים כיצד כלי בינה מלאכותית נגישים עלולים להיות מנוצלים בקלות לפעילויות תקיפה בסיכון גבוה. הוא מספק הצצה נדירה לקמפיינים של מתקפות סייבר המכוונות לגופים מתעשיית הביטחון וההגנה הרוסית, כחלק מהסכסוך בין רוסיה לאוקראינה".

ניקול פישביין, חוקרת אבטחה בכירה באינטזר, אמרה כי "קבוצה זו, שפעילה מאז 2022, נוטה לטובת אוקראינה ומתמקדת כמעט לחלוטין במטרות ברוסיה". לדבריה, "זהו אחד המקרים הבודדים שמאפשרים מחקר מפורט יחסית, של קמפיין מתקפת סייבר שכוון לגופים רוסיים במגזרי הביטחון וההגנה. קמפיין זה היה בולט לא כי המתקפות על גופים רוסיים הן נדירות – אלא כי היכולת לעקוב אחריהן היא מוגבלת".

שימוש במסמכים שנוצרו על ידי AI כפיתיון

חוקרי אינטזר ציינו כי הם הבחינו בקלות בשימוש של ההאקרים ב-AI: המסמכים המזויפים "הצביעו" כי הם יוצרו על בסיס מודלי שפה, וכן כללו שגיאות כתיב, ניסוח לא טבעי וסמלילים שצורתם עוותה. בהיבט הטכני, במסמכים שולבו תוספי אקסל זדוניים, שהוטמנו בהם דלתות אחוריות מסוג EchoGather. אלה אוספות פרטים ממערכות הקורבן, מריצות פקודות מרחוק ומסייעות לקצירת קבצים רגישים. כל זאת, תוך עקיפה חלקית של מנגנוני ההגנה.

לפי חוקרי אינטזר, "ההאקרים עשו שימוש במסמכים שנוצרו על ידי בינה מלאכותית כפיתיון. אלה נוסחו ברוסית ועוצבו כהזמנות או התכתבות רשמית, כדי להגביר את האמינות אצל הנמען". במקרה אחד, מסמכים מזויפים הזמינו קצינים רוסים בכירים להשתתף בקונצרט. באחר, המסמכים הוצגו כהתכתבות ממשרד התעשייה והמסחר הרוסי, שביקש להסביר תמחור כך שיעמוד בתקנות הממשלה.

"השימוש במסמכים מזויפים שיצרה בינה מלאכותית הוא ההיבט הבולט של הקבוצה", ציינו החוקרים והזהירו כי "כלי AI נגישים עלולים בקלות להיות מנוצלים לרעה למטרות זדוניות. הבעיה המרכזית היא בשימוש לרעה בטכנולוגיה – לא בטכנולוגיה עצמה".

"כל היעדים של הקמפיין היו קבלני ביטחון והגנה מרכזיים", כתב חוקר אחר. "זה מעיד על עניין נרחב של ההאקרים בתעשייה הצבאית הרוסית. גישה לקבלני הגנה יכולה לספק תובנות לגבי מגוון רחב של מערכות, ציוד ופיתוח – מכוונות ועד למערכות הגנה אווירית, וכן על שרשרת האספקה של ההגנה ותהליכי מחקר ופיתוח. מידע שכזה הוא בעל ערך צבאי רב, במיוחד בסכסוכים ממושכים".

חוקר שלישי העריך כי "ייתכן שקבוצת התקיפה הרחיבה את יעדיה מעבר למגזרים המסורתיים כמו סוכנויות ממשלתיות, אנרגיה, פיננסים ותקשורת – לתחומים נוספים בתעשייה".

"קווי דמיון רבים לפעילות של קלאוד אטלס"

אף שאינטזר מייחסת את המתקפה ל-Paper Werewolf, בהתבסס על התשתית שתומכת בקמפיין, "עדיין לא ברור אם הקבוצה פעלה על דעת עצמה, עבדה בשיתוף ובגיבוי מדינתי, או שיתפה פעולה עם קבוצות האקרים אחרות", ציינו החוקרים.

בספטמבר השנה פרסמו חוקרי קספרסקי הרוסית כי לקבוצה יש קווי דמיון רבים לפעילות של קלאוד אטלס – קבוצת האקרים פרו-אוקראינית שפועלת מזה יותר מעשור. לפי צ'ק פוינט הישראלית, קלאוד אטלס מכוונת את המתקפות שלה נגד ארגונים פרו-רוסיים במזרח אירופה ובמרכז אסיה. חוקרי אינטזר ציינו כי "הקבוצה עשויה להיות חלק ממארג של קבוצות פריצה פרו-אוקראיניות, אם כי היקף הקשר המדויק ביניהן עדיין לא ברור".