Wykorzystanie ChatGPT przez cyberprzestępców

OpenAI potwierdziło, że cyberprzestępcy wykorzystują ChatGPT w działaniach zagrażających bezpieczeństwu IT. Według raportu firmy, w 2023 roku zidentyfikowano ponad 20 przypadków nadużywania tego narzędzia AI do tworzenia złośliwego oprogramowania, rozpowszechniania dezinformacji, unikania wykrycia czy przeprowadzania ataków phishingowych.

Wykorzystanie ChatGPT przez cyberprzestępców

Pierwsze sygnały o podobnych działaniach pojawiły się w kwietniu, gdy Proofpoint wykrył grupę TA547 używającą ChatGPT do tworzenia loaderów PowerShell. Kolejne analizy, np. badania HP Wolf, wykazały, że narzędzia AI były wykorzystywane przez przestępców do tworzenia wieloetapowych łańcuchów infekcji.

W raporcie OpenAI przedstawiono szczegółowe przypadki, w tym działania chińskiej grupy SweetSpecter oraz irańskich CyberAv3ngers i Storm-0817. Oto najważniejsze szczegóły:

Przypadek SweetSpecter

Grupa SweetSpecter, zajmująca się cyber-espionażem, była znana z ataków na azjatyckie rządy. W listopadzie 2023 roku Cisco Talos ujawniło, że SweetSpecter atakował pracowników OpenAI poprzez spear-phishing z zainfekowanymi załącznikami ZIP. Narzędzie ChatGPT wykorzystywano m.in. do:

Analizy podatności aplikacji i systemów.

Opracowywania skryptów do ataków.

Tworzenia strategii socjotechnicznych, takich jak złośliwe wiadomości e-mail.

Działania CyberAv3ngers

CyberAv3ngers, związana z irańską Gwardią Rewolucyjną, skupiła się na systemach przemysłowych w infrastrukturze krytycznej krajów Zachodu. Grupa korzystała z ChatGPT do:

Tworzenia skryptów Bash i Python.

Ukrywania kodu złośliwego oprogramowania.

Opracowywania strategii post-kompromisowych, takich jak uzyskiwanie haseł z systemów macOS.

Storm-0817: Złośliwe oprogramowanie na Androida

Storm-0817, kolejna irańska grupa, używała ChatGPT do debugowania złośliwego oprogramowania, tworzenia narzędzi takich jak scraper Instagram oraz opracowywania malware dla Androida. Oprogramowanie to było zdolne m.in. do kradzieży danych kontaktowych, historii przeglądania, a także śledzenia lokalizacji użytkownika. Wykorzystywano także serwery Command and Control oparte na technologii WAMP.

Skutki i wnioski

OpenAI zablokowało konta powiązane z przestępcami i udostępniło dane o zagrożeniach partnerom z branży cybersecurity. Mimo że narzędzia AI nie umożliwiają cyberprzestępcom tworzenia nowych typów ataków, znacznie zwiększają ich efektywność, szczególnie dla osób z niskim poziomem zaawansowania technicznego.

Raport ten jest wyraźnym sygnałem, że rozwój sztucznej inteligencji wymaga ścisłego monitorowania i odpowiedzialnego podejścia, by minimalizować ryzyko nadużyć.

Informacja pochodzi z newslettera Lets defend z 14.10.2024 a oryginalny tekst znajdziecie pod adresem: https://www.bleepingcomputer.com/news/security/openai-confirms-threat-actors-use-chatgpt-to-write-malware/