Компания OpenAI сообщила, что заблокировала аккаунты нескольких северокорейских хакерских групп, которые использовали платформу ChatGPT для изучения будущих целей и поиска способов взлома их сетей.
«Мы заблокировали учетные записи, демонстрировавшие активность, потенциально связанную со злоумышленниками из Корейской Народно-Демократической Республикой (КНДР), — говорится в отчете компании об угрозах за февраль 2025 года. — Активность некоторых из этих учетных записей соответствовала тактикам и процедурам группировки, известной как VELVET CHOLLIMA (она же Kimsuky, Emerald Sleet), а другие аккаунты могли быть связаны с субъектом, который, по мнению надежного источника, имеет отношение к группировке STARDUST CHOLLIMA (она же APT38, Sapphire Sleet)».
Сообщается, что заблокированные аккаунты были обнаружены с помощью информации, полученной от неназванного отраслевого партнера OpenAI.
Злоумышленники использовали ChatGPT не только для подбора инструментов для кибератак, но и для поиска информации по теме криптовалют, что часто интересует северокорейских правительственных хакеров.
Кроме того, злоумышленники использовали ChatGPT для помощи в кодинге, в том числе для помощи в использовании опенсорсных RAT, а также для отладки, изучения и разработки опенсорсных и публично доступных защитных инструментов и кода, которые могли использоваться в брутфорс-атаках на RDP.
Также аналитики OpenAI обнаружили, что при отладке ASEP и разработке методов атак на macOS северокорейские злоумышленники случайно раскрыли URL-адреса хранения вредоносных бинарников, о которых в то время не знали производители защитных решений.
В итоге эти URL-адреса и связанные с ними исполняемые файлы были переданы некому онлайн-сервису сканирования, чтобы облегчить обмен информацией с ИБ-сообществом. Теперь некоторые вендоры обнаруживают эти бинарники, защищая потенциальных жертв от будущих атак.
Также в ходе исследования того, как северокорейские хакеры использовали свои аккаунты, OpenAI выявила следующие виды вредоносной активности:
- запросы информации об уязвимостях в различных приложениях;
- разработка и диагностика RDP-клиента, написанного на C#;
- запрос кода для обхода предупреждений безопасности для неавторизованного RDP;
- запросы различных PowerShell-скриптов для RDP-соединений, загрузки и выгрузки файлов, выполнения кода из памяти и обфускации HTML-контента;
- обсуждение создания и развертывания обфусцированных полезных нагрузок для выполнения;
- поиск методов для целевого фишинга и социальной инженерии, нацеленных на криптовалютных инвесторов и трейдеров, а также обсуждение фишингового контента в целом;
- создание фишинговых писем и уведомлений, побуждающих пользователей раскрыть конфиденциальную информацию.
Помимо этого, компания заблокировала аккаунты, связанные со схемой трудоустройства северокорейских ИТ-специалистов. По информации OpenAI, в рамках этой схемы хакеры стремятся получить доходы для Пхеньяна, обманывая западные компании и вынуждая их принимать на работу замаскированных северокорейцев.
В этом случае ИИ использовался хакерами для выполнения рабочих задач, включая написание кода, устранение неполадок и даже обмен сообщениями с коллегами. Также ChatGPT применялся для составления легенд, объясняющих необычное поведение таких сотрудников (уклонение от видеозвонков, доступ к корпоративным системам из неавторизованных стран или ненормированный рабочий день).
В февральском отчете также упоминаются две операции, которые, вероятно, были связаны с китайскими злоумышленниками, аккаунты которых тоже были заблокированы.
В одной из этих операций, получившей название Peer Review, ChatGPT использовался для разработки и распространения шпионских инструментов. По данным OpenAI, здесь ChatGPT применялся для редактирования и отладки кода ИИ-инструментов, предназначенных для сбора и анализа сообщений и комментариев из социальных сетей (включая X, Facebook*, Telegram, Instagram*, YouTube и Reddit) в поисках дискуссий на политические и социальные темы в Китае.
Эта же группировка использовала ChatGPT для проведения исследований, перевода и анализа скриншотов англоязычных документов, а также для создания комментариев о китайских диссидентских организациях.
Также чат-бот применялся в кампании Sponsored Discontent, связанной с Китаем, которая предусматривала создание материалов для социальных сетей на английском языке и длинных новостных статей на испанском. Считается, что эта активность может быть частью дезинформационной кампании Spamouflage.
