กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่ม กำลังทดลองใช้ Gemini ที่ขับเคลื่อนด้วย AI จาก Google เพื่อเพิ่มประสิทธิภาพการดำเนินการ และทำการวิเคราะห์เกี่ยวกับโครงสร้างพื้นฐานที่อาจใช้ในการโจมตี หรือสอดแนมเป้าหมาย
Threat Intelligence Group ของ Google (GTIG) ตรวจพบว่ากลุ่ม advanced persistent threat (APT) ที่ได้รับการสนับสนุนจากรัฐ กำลังใช้ Gemini เพื่อเพิ่มประสิทธิภาพการทำงาน หรือดำเนินการโจมตีทางไซเบอร์รูปแบบใหม่ที่ใช้ AI เพื่อหลีกเลี่ยงระบบการป้องกันแบบเดิม
ผู้โจมตีพยายามใช้เครื่องมือ AI เพื่อวัตถุประสงค์ในการโจมตีในระดับที่แตกต่างกันไป โดยเครื่องมือเหล่านี้สามารถช่วยลดระยะเวลาในการเตรียมการได้เป็นอย่างน้อย
Google ได้ระบุว่ามีกิจกรรมของ Gemini ที่เกี่ยวข้องกับกลุ่ม APT จากมากกว่า 20 ประเทศ แต่ที่โดดเด่นที่สุดมาจากอิหร่าน และจีน
กรณีที่พบบ่อยที่สุด ได้แก่ การใช้ Gemini ช่วยเขียนโค้ดสำหรับพัฒนาเครื่องมือ และสคริปต์, การค้นคว้าช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะ, ตรวจสอบเทคโนโลยี (คำอธิบาย, การแปลข้อมูล), การค้นหารายละเอียดขององค์กรเป้าหมาย และการค้นหาวิธีหลบเลี่ยงการตรวจจับ, การยกระดับสิทธิ์ หรือการดำเนินการตรวจสอบภายในเครือข่ายที่ถูกบุกรุก
กลุ่ม APT ที่ใช้ Gemini
Google กล่าวว่ากลุ่ม APT จากอิหร่าน, จีน, เกาหลีเหนือ และรัสเซีย ต่างเคยทดลองใช้ Gemini เพื่อสำรวจศักยภาพของเครื่องมือนี้ในการช่วยค้นหาช่องโหว่ด้านความปลอดภัย, หลบเลี่ยงการตรวจจับ และวางแผนกิจกรรมหลังจากเจาะระบบสำเร็จ โดยสรุปได้ดังนี้:
- กลุ่มผู้โจมตีจากอิหร่าน เป็นกลุ่มที่ใช้ Gemini มากที่สุด โดยนำไปใช้ในกิจกรรมที่หลากหลาย เช่น การสอดแนมองค์กรด้านกลาโหม และผู้เชี่ยวชาญระดับนานาชาติ, วิจัยช่องโหว่ที่เปิดเผยต่อสาธารณะ, พัฒนาแคมเปญฟิชชิง และสร้างเนื้อหาสำหรับปฏิบัติการ พวกเขายังใช้ Gemini สำหรับการแปลภาษา และอธิบายข้อมูลทางเทคนิคที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ และเทคโนโลยีทางการทหาร รวมถึงอากาศยานไร้คนขับ (UAV) และระบบป้องกันขีปนาวุธ
- กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากจีน ใช้ Gemini เป็นหลักในการสอดแนมองค์กรทางทหาร และรัฐบาลของสหรัฐฯ, วิจัยช่องโหว่ด้านความปลอดภัย, เขียนสคริปต์สำหรับการโจมตีต่อไปในเครือข่าย และการยกระดับสิทธิ์ รวมถึงดำเนินกิจกรรมภายหลังการเจาะระบบ เช่น การหลบเลี่ยงการตรวจจับ และการรักษาการเข้าถึงเครือข่ายอย่างต่อเนื่อง นอกจากนี้ พวกเขายังสำรวจวิธีเข้าถึง Microsoft Exchange โดยใช้ password hashes{} และทำ Reverse Engineering เครื่องมือรักษาความปลอดภัย เช่น Carbon Black EDR
- กลุ่ม APT จากเกาหลีเหนือ ใช้ Gemini เพื่อสนับสนุนหลายขั้นตอนของการโจมตี เช่น การวิจัยผู้ให้บริการ free hosting, การสอดแนมองค์กรเป้าหมาย และการช่วยพัฒนามัลแวร์ และเทคนิคการหลบเลี่ยงการตรวจจับ กิจกรรมส่วนใหญ่ของพวกเขามุ่งเน้นไปที่โครงการลับของเกาหลีเหนือที่เกี่ยวข้องกับแรงงานด้าน IT โดยใช้ Gemini เพื่อเขียนใบสมัครงาน, จดหมายสมัครงาน และข้อเสนอเพื่อสมัครงานกับบริษัทในโลกตะวันตกภายใต้ตัวตนปลอม
- กลุ่มผู้โจมตีจากรัสเซีย มีการใช้ Gemini น้อยที่สุด โดยส่วนใหญ่ใช้เพื่อช่วยเขียนสคริปต์, แปลภาษา และสร้าง payload การโจมตีของพวกเขา รวมถึงการเขียนโค้ดมัลแวร์ที่ถูกเปิดเผยต่อสาธารณะใหม่ให้เป็นภาษาโปรแกรมอื่น, เพิ่มฟังก์ชันการเข้ารหัสให้กับโค้ดอันตราย และศึกษาการทำงานของมัลแวร์ที่ถูกเปิดเผยต่อสาธารณะ การใช้งานที่จำกัดนี้อาจบ่งชี้ว่ากลุ่มผู้โจมตีจากรัสเซียมีแนวโน้มที่จะใช้โมเดล AI ที่พัฒนาในประเทศมากกว่า หรือหลีกเลี่ยงแพลตฟอร์ม AI ของตะวันตกด้วยเหตุผลด้านความปลอดภัยในการปฏิบัติการ
Google ระบุว่า พบกรณีที่กลุ่มผู้โจมตีพยายามใช้ public jailbreaks {}กับ Gemini หรือปรับแต่งข้อความเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยของแพลตฟอร์ม อย่างไรก็ตาม ความพยายามเหล่านี้ไม่ประสบความสำเร็จ
OpenAI ผู้สร้างแชทบอต AI ยอดนิยมอย่าง ChatGPT ได้เปิดเผยข้อมูลที่คล้ายกันในเดือนตุลาคม 2024 ดังนั้น รายงานล่าสุดของ Google จึงเป็นการยืนยันถึงการใช้เครื่องมือ AI สร้างสรรค์ในทางที่ผิดโดยกลุ่มผู้โจมตีในทุกระดับ
แม้ว่าการ jailbreaks และการหลีกเลี่ยงมาตรการรักษาความปลอดภัยจะเป็นประเด็นที่น่ากังวลสำหรับ AI กระแสหลัก แต่ตลาด AI กำลังเต็มไปด้วยโมเดลที่ขาดการป้องกันที่เหมาะสมเพื่อป้องกันการใช้งานในทางที่ผิด น่าเสียดายที่บางโมเดลซึ่งมีข้อจำกัดที่สามารถหลีกเลี่ยงได้ง่าย กลับได้รับความนิยมเพิ่มขึ้น
บริษัทข่าวกรองด้านความปลอดภัยไซเบอร์ KELA ได้เผยแพร่รายละเอียดเกี่ยวกับมาตรการรักษาความปลอดภัยที่หละหลวมของ DeepSeek R1 และ Qwen 2.5 ของ Alibaba ซึ่งมีช่องโหว่ที่เสี่ยงต่อการโจมตีแบบ prompt injection ที่อาจช่วยให้การใช้งานในทางที่เป็นอันตรายเป็นไปได้ง่ายขึ้น
นักวิจัยจาก Unit 42 ยังได้สาธิตเทคนิคการ jailbreaks ที่มีประสิทธิภาพกับ DeepSeek R1 และ V3 ซึ่งแสดงให้เห็นว่าโมเดลเหล่านี้สามารถถูกนำไปใช้ในทางที่ผิดได้โดยง่าย
ที่มา : bleepingcomputer
You must be logged in to post a comment.