מחקר: המדינות הרעות בסייבר משתמשות ב-ChatGPT למתקפות

זה כבר לא בתיאוריה: מדינות "ציר הרשע בסייבר" – סין, רוסיה, איראן וצפון קוריאה – עובדות עם מודלי שפה גדולים (LLMs) כדי לשפר את פעילות הסייבר ההתקפית שלהן; כך לפי מחקר חדש של מיקרוסופט (Microsoft) ו-OpenAI.

לפי השתיים, "קבוצות איומים מתמשכים מתקדמים (APTs), הפועלות בחסות ובתיאום מדינות – משתמשות כולן ב-LLMs, כדי לשכלל את המתקפות שלהן. הן עושות שימושים בשירותי OpenAI כדי לחפש מידע בקוד פתוח, לתרגם טקסטים, למצוא שגיאות קידוד, להפעיל משימות קידוד בסיסיות, לסייע למסעות תקיפה בסייבר, ולאתר מיקומים וקורבנות פוטנציאליים".

החוקרים חשפו חמישה שחקני איומים גדולים, שהשתמשו בתוכנת OpenAI לשיפור המתקפות בכלל, ולצורכי מחקר, הונאות ומטרות זדוניות אחרות – בפרט. OpenAI סגרה את כל החשבונות שלהם. לצד הממצאים המרתיעים, יש גם חדשות טובות: אף אחת מהמתקפות הללו, שהסתייעו ב-LLM – לא הייתה הרסנית במיוחד (עד כה).

עושות שימוש ב-GenAI בפעילותן. מדינות ציר הרשע בסייבר – סין, איראן, צפון קוריאה ורוסיה. צילום: שאטרסטוק

מי השתמש בשירותי OpenAI – וכיצד? 

אחת המשתמשות בשירותי OpenAI שהתגלו היא קבוצת האקרים מרוסיה ששמה דוב מהודר (Fancy Bear), או APT28. מקורה ב-GRU, המודיעין הצבאי הרוסי. כינויים נוספים שלה הם סופת שלגים ביער (Forest Blizzard), דמדומי ברזל (Iron Twilight), אגם קפוא (FROZENLAKE), וכן Sednit, Sofacy, TA422, ו-ITG05. חברי הקבוצה התפרסמו בעבר שלוש פעמים: בפריצה למטה ולמערכות המפלגה הדמוקרטית בארה"ב ב-2016; בגניבות מידע על חיסוני קורונה בפיתוח, ב-2020; ובשורת מתקפות על חברות וארגוני ממשל באוקראינה, בזמן מאבקה בפלישת רוסיה.

לפי החוקרים, "חברי הקבוצה משתמשים ב-LLM למשימות סקריפטים בסיסיות – מניפולציה של קבצים, בחירת נתונים, ריבוי עיבודים, איסוף מודיעין ועוד". הם ציינו כי ההאקרים התמקדו בחקר פרוטוקולי תקשורת לוויינים, ובטכנולוגיות הדמיית מכ"מים, כנראה בקשר למלחמה באוקראינה.

גם שתי קבוצות האקרים הפועלות בחסות סין נצפו משלבות רכיבי ChatGPT באחרונה. האחת היא טייפון עשוי פחם (Charcoal Typhoon), הידועה גם בשמות ControlX, RedHotel, פנדה מימית (Aquatic Panda) ואוניברסיטת ברונזה.

לפי החוקרים, חברי הקבוצה עשו "שימוש טוב" (להאקרים) ב-AI, לטובת ביצוע פעולות זדוניות לפני או אחרי הפריצה, לאיסוף מידע על טכנולוגיות, פלטפורמות ופגיעויות ספציפיות, ליצירת סקריפטים ולהפקת טקסטים מתורגמים לצורכי הנדסה חברתית.

לאחר הפריצה הראשונית, הבינה המלאכותית סייעה להאקרים לשלוח פקודות שיבוש מתקדמות, להשיג גישה עמוקה יותר למערכת הקורבן ואז להשתלט על המערכות.

הקבוצה הסינית השנייה היא סלמון טייפון, המכונה גם APT4 ופנדה תועה או פנדה עצמאית (Maverick Panda). חבריה התמקדו בעיקר בשימוש ב-LLMs ככלי מודיעיני, תוך מיקוד בהשגת מידע אודות אנשים בעלי פרופיל גבוה, סוכנויות מודיעין, פוליטיקה פנים-מדינתית ובינלאומית ועוד. חבריה גם ניסו, בהצלחה חלקית בלבד, לעשות שימוש לרעה ב-OpenAI לצורך עזרה בפיתוח נוזקות וחקר טקטיקות התגנבות.

הקבוצה הרביעית פועלת בחסות איראן, ושמותיה הם סופת החול של ארגמן, שריון הצב (Tortoiseshell), חתלתול אימפריאליסטי ו-Yellow Liderc. חבריה משתמשים ב-OpenAI לכתיבת תכני פישינג – למשל כאימיילים מסוכנות פיתוח בינלאומית או מקבוצה פמיניסטית. הבינה המלאכותית גם עזרה להם לכתיבה של קטעי קוד ולביצוע משימות, כאשר המשתמשים נכנסים לאפליקציה. 

קבוצת ההאקרים החמישית היא קימסוקי מצפון קוריאה. היא מכונה גם גשם-שלג של ברקת (איזמרגד) וקטיפת קולימה (Velvet Chollima). חברי הקבוצה, כדומיהם, מנצלים את OpenAI לצורך משימות סקריפטים בסיסיות, יצירת תוכן לפישינג, איסוף מידע זמין על נקודות תורפה, מומחים, צוותי חשיבה, ארגונים ממשלתיים ותוכניות ההגנה שלהם בכלל והגנה גרעינית בפרט.

"הוספת כלי ה-AI לא משפיעה באופן ניכר על הפעילות"

"סביר להניח ששחקני איומים, שהם משפיעים ו'יעילים' מספיק כדי שחוקרי מיקרוסופט יעקבו אחריהם – הם כבר מיומנים בכתיבת תוכנה", אמר ג'וזף ת'אקר, מהנדס AI ראשי וחוקר אבטחה ב-AppOmni, "בינה מלאכותית יוצרת היא מדהימה, אבל היא בעיקר עוזרת לבני אדם להיות יעילים יותר מאשר לעשות פריצות דרך. אני מאמין ששחקני האיומים האלה משתמשים ב-LLMs כדי לכתוב קוד, כגון נוזקות – מהר יותר, אבל הוספת כלי ה-AI לא משפיעה באופן ניכר על פעילותם, כי גם קודם היו להם נוזקות. בסופו של יום, הם עדיין לא עושים דבר חדש".

למרות זאת ת'אקר הזהיר כי "בינה מלאכותית עדיין מציעה יתרונות לתוקפים. סביר להניח ששחקנים רעים יוכלו לפרוס נוזקות בהיקף גדול יותר, או במערכות שלא הייתה להם בעבר תמיכה בהן. LLMs די טובים בתרגום קוד משפה, או ארכיטקטורה אחת – לאחרת. אז יש להניח כי הם יעשו זאת".