גוגל: עשרות קבוצות סייבר מציר הרשע משתמשות בג'מיני

לא מפתיע: יותר מ-57 קבוצות של שחקני איום שונים, בעלות קשרים לסין, איראן, צפון קוריאה ורוסיה, השתמשו בשירות ה-AI של גוגל, ג'מיני, כדי להגדיל עוד יותר את מתקפות הסייבר ופעולות המידע הזדוניות שלהן.

"שחקני איום עורכים ניסויים עם ג'מיני כדי לאפשר את פעילותם בעולם הבינה המלאכותית ולהיות יותר רווחיים ויעילים בפעילות המתקפות שלהם, אבל הם עדיין לא מפתחים יכולות חדשות", כתבו חוקרי קבוצת מודיעין האיומים של גוגל (GTIG) בדו"ח חדש. "כיום, הם משתמשים בבינה מלאכותית בעיקר למחקר, לפתרון בעיות קוד, וכן ליצירה וללוקליזציה של תוכן".

התוקפים בגיבוי ממשלתי, הידועים גם בכינוי APT – איומים מתקדמים ועקביים (Advanced Persistent Threat) השתמשו בג'מיני "כדי לחזק שלבים רבים במחזור חיי המתקפה, כולל משימות קידוד וסקריפטים, פיתוח מטענים שמכילים נוזקות, איסוף מידע על מטרות פוטנציאליות, מחקר נקודות תורפה ידועות, והפעלת פעילויות תקיפה והתחמקות ממערכי ההגנה – לאחר הפגיעה", ציינו החוקרים.

"האיראנים – המשתמשים הכבדים ביותר בג'מיני"

חוקרי גוגל כתבו ששחקני ה-APT האיראנים הם "המשתמשים הכבדים ביותר בג'מיני". קבוצת APT42 היא המובילה מכלל קבוצות ההאקרים מהרפובליקה האסלאמית שהשתמשו בשירות של גוגל, עם יותר מ-30%. חברי הקבוצה מינפו עם ג'מיני את הכלים שלהם ליצירת קמפייני פישינג, לביצוע סיורים חשאיים באתרים של מומחים וארגונים ביטחוניים, וליצירת תוכן בנושאי אבטחת סייבר.

ובמקום הראשון בשימוש בג'מיני – ההאקרים שלוחי איראן. צילום: ShutterStock

ל-APT42, שדומה בחלק מהפעילות שלה לקבוצות חתלתול מקסים (Charming Kitten) וסופת חול בטעם מנטה (Mint Sandstorm), יש היסטוריה של מתקפות מבוססות הנדסה חברתית משופרת, לטובת חדירה לרשתות קורבנות ולסביבות ענן. במאי האחרון חשפו חוקרי מנדיאנט את הפגיעה שלה בארגונים לא ממשלתיים, ארגוני תקשורת, אקדמיה, שירותים משפטיים ופעילים. הם התחזו לעיתונאים ולמארגני אירועים.

חברי הקבוצה עוסקים באופן עמוק בחקירת מערכות צבאיות ומערכות נשק, בלימוד של מגמות אסטרטגיות בתעשייה הביטחונית של סין, ובהבנה טובה יותר של מערכות תעופה וחלל מתוצרת ארצות הברית.

הפעילות של מדינות אחרות בציר הרשע

החוקרים ציינו שקבוצות APT סיניות משתמשות בג'מיני כדי לסייר ברשתות הקורבנות, לפתור בעיות קוד ולמצוא דרכים ושיטות להתחפר בהן עמוק יותר. הן עושות זאת באמצעות טכניקות כמו תנועה רוחבית, הסלמת פריבילגיות, חילוץ נתונים והתחמקות מאיתור.

שחקני APT רוסים, כתבו, הגבילו את השימוש שלהם בג'מיני כדי להמיר נוזקות זמינות לציבור לשפת קידוד אחרת ולהוסיף שכבות הצפנה לקוד קיים.

האקרים צפון קוריאנים השתמשו בשירות הבינה המלאכותית של גוגל על מנת לחקור תשתיות וספקי אירוח. "שחקנים צפון קוריאנים השתמשו בג'מיני גם כדי לנסח מודעות למציאת משרות, לרבות בעולם המחקר – כדי לתמוך במאמציה של המדינה להציב בחשאי האקרים מטעמה כ-'עובדי IT' בחברות מערביות", נכתב בדו"ח.

"אחת הקבוצות", כתבו החוקרים, "השתמשה בג'מיני לניסוח מודעות להצעות עבודה, חקרה את המשכורות הממוצעות למשרות ספציפיות ושאלה על משרות בלינקדאין. הקבוצה השתמשה בג'מיני גם למידע על חילופי עובדים בחו"ל. רבים מהנושאים היו נפוצים לכל מי שחוקר ומגיש מועמדות למשרות".

גרסאות זדוניות של LLMs

עוד לפי חוקרי ענקית הטכנולוגיה, "נראו הודעות בפורום מחתרתי, שמפרסם גרסאות זדוניות של מודלי שפה גדולים (sLLM), שמסוגלות לייצר תגובות ללא כל אילוץ בטיחותי או מוסרי". בין הכלים שנעשה בהם שימוש: WormGPT ,WolfGPT ,EscapeGPT ,FraudGPT ו-GhostGPT. השימוש בכלים אלה נועד ליצור הודעות פישינג במייל מותאמות אישית, ליצור תבניות למתקפות של פגיעה במייל עסקי (BEC) ולעצב אתרים מזויפים לצרכי הונאה.

האקרים השתמשו לרעה בג'מיני גם כדי לחקור אירועים אקטואליים, ליצור תוכן, לתרגם תכנים ולבצע להם לוקליזציה. זאת, כחלק מפעולות השפעה של איראן, סין ורוסיה. בסך הכול, השתמשו בג'מיני קבוצות APT מיותר מ-20 מדינות.

בשולי המחקר ציינה גוגל כי היא "פורסת הגנות באופן פעיל", כדי להתמודד עם מתקפות הזרקת קוד מהירות. החברה הדגישה את הצורך להעמיק את שיתוף הפעולה בין ארגונים מהמגזרים השונים, הציבורי והפרטי – כדי להגדיל את הגנות הסייבר ולשבש את האיומים.