Martedì Google Menace Intelligence Group (GTIG) ha condiviso una serie di sviluppi nel campo della criminalità informatica. Il gruppo ha sottolineato che, attualmente, l’intelligenza artificiale (AI) viene utilizzata sia come motore per le operazioni degli avversari sia come obiettivo advert alto valore per gli attacchi. Lo sviluppo più preoccupante è il primo caso noto in cui un autore di minacce ha utilizzato un exploit zero-day sviluppato dall’intelligenza artificiale. Sebbene l’attacco sia stato sventato dal colosso della tecnologia, ciò solleva nuove preoccupazioni sul fatto che l’intelligenza artificiale possa rafforzare hacker e autori di minacce.
Google afferma che l’intelligenza artificiale sta diventando parte degli attacchi informatici nel mondo reale
Nell’a articolo del blogil braccio di ricerca sulla sicurezza informatica di Google ha rivelato diversi sviluppi in cui l’intelligenza artificiale viene utilizzata per effettuare attacchi informatici. GTIG afferma che gli autori delle minacce non utilizzano più l’intelligenza artificiale solo per semplici e-mail di phishing o per la generazione di testo. Invece, gli aggressori stanno ora applicando modelli di intelligenza artificiale generativa a parti più avanzate delle operazioni informatiche, tra cui la ricerca sulle vulnerabilità, lo sviluppo di exploit, la creazione di malware e l’evasione della difesa.
Uno dei risultati principali del rapporto è una campagna pianificata di sfruttamento di massa che coinvolge una vulnerabilità zero-day. Uno zero-day è un difetto del software program sconosciuto al fornitore nel momento in cui gli aggressori iniziano a sfruttarlo. GTIG ha affermato di aver identificato un autore di minacce utilizzando un exploit zero-day che ritiene sia stato sviluppato con l’assistenza di strumenti di intelligenza artificiale. Google ha affermato di aver scoperto la vulnerabilità prima che gli aggressori potessero utilizzarla su larga scala e ha collaborato con il fornitore interessato per risolvere il problema.
Secondo quanto riferito, l’exploit ha preso di mira un popolare strumento di amministrazione internet open supply e ha consentito agli aggressori di aggirare l’autenticazione a due fattori (2FA), un sistema di sicurezza che normalmente richiede un secondo passaggio di verifica oltre a una password.
Google ha affermato che i segnali all’interno del codice dell’exploit suggeriscono il coinvolgimento dell’intelligenza artificiale. Questi includevano modelli di codifica in stile AI, commenti esplicativi e persino un punteggio di gravità della vulnerabilità fabbricato e generato in un formato comunemente associato a modelli linguistici di grandi dimensioni.
Oltre alla scoperta delle vulnerabilità, GTIG afferma che gli aggressori utilizzano anche l’intelligenza artificiale per accelerare lo sviluppo di malware e migliorare l’efficienza operativa. Secondo il rapporto, la codifica assistita dall’intelligenza artificiale sta aiutando gli autori delle minacce a creare malware e sistemi di offuscamento più adattabili progettati per eludere i software program di sicurezza.
Google ha specificamente indicato famiglie di malware come PROMPTSPY, che la società ha descritto come un esempio di malware abilitato all’intelligenza artificiale in grado di interpretare gli stati del sistema e generare comandi dinamicamente. In termini più semplici, il malware può adattare il proprio comportamento a seconda dell’ambiente che incontra su una macchina infetta.
Il rapporto afferma inoltre che gli aggressori collegati a Cina, Corea del Nord e Russia hanno mostrato un crescente interesse nell’utilizzo di modelli di intelligenza artificiale per la ricerca sulle vulnerabilità e i flussi di lavoro degli attacchi. In alcuni casi, gli autori delle minacce avrebbero utilizzato sistemi di intelligenza artificiale per analizzare vulnerabilità word, convalidare exploit proof-of-concept e migliorare l’infrastruttura dannosa.
