Аналитики Google Threat Intelligence Group (GTIG) сообщили, что не менее 57 «правительственных» хак-групп экспериментируют с использованием Gemini AI для повышения эффективности своих кампаний. ИИ применяют для изучения целевой инфраструктуры и проведения разведывательных операций.

В основном APT-группировки используют Gemini для повышения своей производительности, а не для разработки малвари или обхода традиционных средства защиты. Google сообщает, что активность Gemini, связанная с APT-группами, исходила более чем из 20 стран, но наиболее заметными оказались группировки из Ирана и Китая.

Среди самых распространенных примеров применения ИИ: решения задач по написанию инструментов и скриптов, исследование публично раскрытых уязвимостей, изучение технологий (объяснения и перевод), поиск информации о целевых организациях, а также поиск методов для уклонения от обнаружения, повышения привилегий или проведения внутренней разведки во взломанной сети.

По данным компании, APT-группы из Ирана, Китая, Северной Кореи и России экспериментировали с Gemini, изучая возможности инструмента в вопросах обнаружения уязвимостей в системах безопасности, уклонения от обнаружения и планирования действий после компрометации.

Иранские хакеры оказались самыми активными пользователями Gemini (75% от всех наблюдаемых случаев использования). Они применяли ИИ для различных задач, включая: поиск оборонных организаций и международных экспертов; изучение публично раскрытых уязвимостей; разработку фишинговых кампаний и создание контента для операций влияния. Кроме того, иранские группы использовали Gemini для перевода и получения разъяснений в областях ИБ и военных технологий, включая беспилотные летательные аппараты (БПЛА) и системы противоракетной обороны.
Более 30% попыток использования Gemini иранскими APT пришлось на долю группировки APT42.

Китайские злоумышленники в основном использовали Gemini для сбора информации о военных и правительственных организациях США; изучения уязвимостей; написания скриптов для бокового перемещения и повышения привилегий; а также для активности после взлома, включая уклонение от обнаружения и закрепление в сетях жертв. Также они изучали способы доступа к Microsoft Exchange с помощью парольных хешей и интересовались реверс-инжинирингом таких защитных решений как Carbon Black EDR.
Gemini AI пользовались не менее 20 хак-групп из Поднебесной.

Северокорейские APT использовали Gemini в качестве вспомогательного инструмента. Так, ИИ применялся для поиска провайдеров бесплатного хостинга; сбора информации о целевых организациях; помощи при разработке вредоносного ПО и методов уклонения от атак. Значительная часть активности была сосредоточена вокруг схемы, в рамках которой фальшивые северокорейские ИТ-специалисты устраиваются на работу в западные компании. Так, Gemini помогал хакерам при составлении откликов на вакансии, сопроводительных писем и предложений по трудоустройству в западные компании под чужими именами.

Российские хак-группы взаимодействовали с Gemini минимально, в основном используя его для помощи в написании скриптов, перевода и создания полезных нагрузок. Как правило, их активность была направлена на переписывание общедоступной малвари на другие языки программирования; добавление шифрования к вредоносному коду; изучение принципов работы отдельных частей общедоступного вредоносного ПО.

Исследователи полагают, что российские хакеры предпочитают использовать разработанные в России ИИ-модели и локальные LLM, избегая западных ИИ-инструментов из соображений безопасности. Так, возможности Gemini AI тестировали только три российские хак-группы.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии