Google повідомляє, що штучний інтелект допоміг створити експлойт для обходу 2FA
Google Threat Intelligence Group виявила експлойт нульового дня
Google Threat Intelligence Group (GTIG) нещодавно виявила кіберзлочинну операцію, яка використовувала дуже небезпечний експлойт нульового дня. Особливість цього експлойту полягає в тому, що, за твердженням Google, його було розроблено за допомогою AI-моделі. При цьому, скрипт експлойту, написаний на Python, був спрямований на обходження двофакторної автентифікації в популярному інструменті адміністрування систем з відкритим кодом.
Згідно з даними GTIG, зловмисники готувалися до масштабної експлуатаційної кампанії. Компанія Google активно працювала з постраждалим постачальником, щоб відповідально розкрити вразливість та припинити активність до використання експлойту. Як частина цієї роботи, компанії вдалося усунути цю загрозу.
Секрети експлойту
Інколи небезпеки не одразу видно. Цей експлойт містив докладні коментарі та вигадану оцінку CVSS, що робило його схожим на контент, згенерований на основі великих мовних моделей. GTIG акцентувала увагу на структурованому форматі Python у цьому скрипті, що робить його особливо цікавою знахідкою. Слід відзначити й наявність детальних меню допомоги та чистих кольорових ANSI класів як додаткові приклади того, наскільки витонченим може бути такий код.
Вразливість через логічний дефект
Цей випадок особливо примітний тим, що вразливість не була викликана типовими помилками, такими як пошкодження пам’яті чи проблеми з обробкою вхідних даних. Навпаки, експлойт виник через високорівневий логічний дефект у потоці аутентифікації додатку, який зловмисники вміло використали.
Недолік дозволяв обійти двофакторну автентифікацію, хоча для цього були потрібні дійсні облікові дані користувачів. Це підкреслює важливість правильної реалізації систем аутентифікації, адже навіть незначна помилка в логіці може значно ослабити безпеку вашої системи.
AI-моделі проти традиційних інструментів
GTIG наголошує, що тоді як традиційні фузери та інструменти статичного аналізу ефективні для виявлення проблем, таких як збої та небезпечні вхідні дані, сучасні AI-моделі мають переваги у виявленні високорівневих логічних проблем. Ці AI-моделі можуть порівнювати різні частини логіки застосунку та виявляти жорстко закодовані аномалії, що традиційні методи можуть пропустити.
Водночас GTIG вказує на обмеження AI-моделей, особливо в авторизаційній логіці складних підприємств. Проте їхнє контекстуальне мислення допомагає виявити приховані недоліки, які звичайні сканери можуть не помітити, що робить ці моделі незамінними в сучасних умовах.
Цей випадок є наглядним прикладом того, чому підтримка відкритого коду повинна бути максимально ретельною. Недолік містився у логіці додатку, а не в звичайному коді, тому його важко було виявити. Це саме той момент, коли здається, що все працює як слід, але насправді програма суперечить безпековій моделі.
Держави-виконавці та їхні AI-експерименти
Крім того, GTIG зазначила, що групи загроз, пов’язані з державами, наприклад, з Китаєм та Північною Кореєю, експериментують з AI-методами для дослідження вразливостей. Вони схиляють AI-моделі до виконання ролей старших аудиторів безпеки або експертів з бінарної безпеки під час дослідження цілей, що свідчить про новий рівень загроз у світі кібербезпеки.
