Google Threat Intelligence Group сообщила, что киберпреступники применяют модели искусственного интеллекта для поиска уязвимостей, создания вредоносного ПО и ускорения атак. В последнем отчёте компания указала, что такие инструменты сокращают время подготовки атак и расширяют набор используемых методов.
Google Threat Intelligence Group выявила уязвимость «дня ноль»
Компания заявила, что впервые зафиксировала неизвестную уязвимость, которую, вероятно, нашли и превратили в инструмент атаки с помощью ИИ. Речь идёт об уязвимости класса «день ноль», которая не была публично известна и не имела исправления на момент использования атакующими.
По данным Google, уязвимость затрагивала популярный инструмент веб-администрирования с открытым исходным кодом. Она позволяла обходить двухфакторную аутентификацию при наличии действительных учётных данных. Google взаимодействовала с затронутым поставщиком, чтобы ответственно сообщить о проблеме и остановить активность до её возможного применения в масштабной кампании.
Google описала отличия ИИ от традиционных средств анализа кода
Google отметила, что традиционные инструменты кибербезопасности обычно ищут конкретные ошибки кода, включая проблемы с памятью или валидацией. По оценке компании, модели ИИ выявляют более тонкие дефекты, связанные с внутренней логикой программ.
Такие модели анализируют большие объёмы кода, интерпретируют замысел разработчика и находят логические противоречия. Эти противоречия не выглядят как очевидные ошибки, но создают условия для атак.
Google применяет Big Sleep и CodeMender для защиты
Компания подчеркнула, что ИИ используют не только атакующие стороны. Google применяет эти технологии для поиска и устранения уязвимостей в программном обеспечении.
В отчёте упомянуты инструменты Big Sleep, разработанный Google DeepMind и Project Zero для поиска неизвестных уязвимостей, а также экспериментальная система CodeMender. CodeMender предназначен для помощи в исправлении критических ошибок в коде.
PROMPTSPY использует API Gemini для атак на Android
Отчёт описывает, как различные группы применяют ИИ для разработки вредоносного ПО, сокрытия операций и автоматизации частей атак. Одним из примеров стало вредоносное ПО PROMPTSPY для Android, использующее API Gemini.
Этот программный интерфейс позволяет PROMPTSPY интерпретировать содержимое экрана устройства и выбирать действия. Вредоносное ПО имитирует нажатия и свайпы, исходя из анализа интерфейса.
PROMPTSPY усложнял удаление, размещая невидимый слой поверх кнопки деинсталляции. Пользователю казалось, что кнопка не работает. Вредоносное ПО также включало механизмы повторной активации для сохранения доступа к устройству.
Google заявила, что не обнаружила приложения с PROMPTSPY в Google Play. Пользователи Android защищены от известных версий этого ПО с помощью Google Play Protect, который включён по умолчанию.
Operation Overload использовала ИИ для дезинформации
Google также указала на использование ИИ для сбора информации о компаниях и их сотрудниках. Злоумышленники анализируют структуру организаций, роли сотрудников, внутренние подразделения и взаимодействие с поставщиками.
Эти данные позволяют создавать персонализированные фишинговые сообщения для конкретных людей. Такие сообщения содержат детали, которые повышают доверие адресатов.
Отчёт упоминает и кампании дезинформации с применением ИИ для клонирования голосов и манипуляции видео. В качестве примера Google привела Operation Overload, пророссийскую кампанию, где сгенерированные ИИ голоса подменяли реальных журналистов.
Google дала рекомендации пользователям
В заключение Google напомнила, что пользователи могут снизить риски, регулярно обновляя устройства и приложения. Компания рекомендовала загружать программы только из официальных магазинов и внимательно проверять запрашиваемые разрешения, особенно на Android.
Google также советовала с осторожностью относиться к сообщениям с призывами к срочным действиям. Компания отметила, что двухфакторная аутентификация остаётся полезной мерой защиты, но ни одна мера безопасности не работает изолированно.
Оригинал: источник
