По данным компании Genians, занимающейся кибербезопасностью, поддерживаемая Северной Кореей хакерская группа Kimsuky использовала ChatGPT для создания поддельного удостоверения личности южнокорейского военного и совершила фишинговую атаку, направленную против журналистов, исследователей и правозащитников.
В электронном письме с поддельным идентификатором содержалось вредоносное ПО, созданное для кражи информации с устройств получателей. Эта кампания является частью более широкой схемы киберопераций Северной Кореи с использованием искусственного интеллекта для осуществления глобального шпионажа.
Фишинговое письмо было замаскировано под сообщение с реального военного аккаунта, заканчивающегося на .mil.kr. В нем не было прикрепленных фотографий или изображений удостоверения личности. Вместо этого там находился скрытый вредоносный код, готовый заразить систему жертвы.
Сотрудники Genians подтвердили, что поддельное военное удостоверение было сгенерировано с помощью ChatGPT после обхода ограничений платформы. При попытке сгенерировать удостоверение напрямую инструмент сначала отказался. Но исследователям удалось обойти блокировку, изменив формулировку запроса.
После переписывания подсказки система создавала убедительный черновик, достаточный для того, чтобы заставить жертв нажать на встроенное вредоносное ПО.
Инструменты искусственного интеллекта помогают северокорейским хакерам создавать поддельные резюме,dentданные и вредоносное ПО
Та же стратегия не ограничивалась Южной Кореей. В августе компания Anthropic, занимающаяся разработкой искусственного интеллекта, сообщила, что обнаружила северокорейских хакеров, использующих ее модель кода Клода для подачи заявок на удаленную работу в американских компаниях из списка Fortune 500.
Хакеры использовали Клода для прохождения собеседований по программированию, создания полной истории работы и даже выполнения технических заданий после приема на работу. Эта операция предоставила Северной Корее прямой доступ к корпоративным системам на территории США без необходимости взламывать какие-либо брандмауэры.
В феврале OpenAI заблокировала аккаунты, связанные с Северной Кореей, которые использовали её инструменты для создания поддельных резюме, сопроводительных писем и сообщений в социальных сетях. Эти профили были созданы для того, чтобы обманом заставить людей помогать кампаниям режима, осознанно или нет.
Мун Чон Хён, директор компании Genians, заявил, что эти новые методы демонстрируют, как Северная Корея интегрировала искусственный интеллект на каждом этапе процесса взлома, от планирования и создания инструментов до фишинга и выдачи себя за другое лицо.
«Злоумышленники могут использовать ИИ для построения сценариев, написания вредоносного ПО и даже притворства вербовщиками», — сказал Мун. Правительство США заявило, что кибератаки Северной Кореи являются частью более масштабной операции.
Они считают, что режим в Пхеньяне использует хакерство, кражу криптовалюты и теневые ИТ-tracдля сбора данных, разведывательной информации и получения средств для поддержки своей программы ядерного оружия, обходя при этом международные санкции.
Еще в 2020 году Министерство внутренней безопасности США выпустило официальное предупреждение, в котором Кимсуки описывался как «скорее всего, получивший от северокорейского режима задание по сбору разведывательной информации в глобальном масштабе»
Группа действует с 2012 года и сосредоточила свои атаки на экспертах по внешней политике, аналитических центрах и правительственных учреждениях в Южной Корее, Японии и США.
В большинстве случаев они используют фишинговые электронные письма для проникновения в системы,tracконфиденциальной информации и tracважных дискуссий о ядерной стратегии, санкциях и региональной безопасности.
Официальные лица США и Южной Кореи предупреждают о растущей угрозе
отчете Genian также подтвердилось, что последние жертвы были тщательно отобраны. Хакеры нацелились на людей, тесно tron с проблемами Северной Кореи, таких как активисты, журналисты и исследователи в области обороны. До сих пор неизвестно, сколько именно устройств было взломано.
Но тот факт, что им удалось подделать домен электронной почты южнокорейских военных и внедрить вредоносное ПО в, казалось бы, безобидное сообщение, показывает, насколько опасен этот метод.
В ходе расследования сотрудники Genians попытались воспроизвести метод хакеров, используя ChatGPT. Их эксперимент подтвердил, что, хотя ChatGPT предназначен для блокировки незаконного контента, такого как поддельные государственные удостоверения личности, злоумышленники все же смогли обойти его, внеся незначительные изменения в язык программирования.
В итоге получился шаблон удостоверения личности, который не вызывал подозрений до тех пор, пока не стало слишком поздно.
CISA, ФБР и CNMF призвали всех, кто работает в чувствительных областях, связанных с Северной Кореей, усилить меры безопасности. Они предупредили, что Кимсуки продолжает использовать фишинг, поддельные аккаунты вербовщиков и поддельные домены для проникновения в сети.
В числе основных предложений – внедрение многофакторной аутентификации, проведение тренингов по предотвращению фишинга и созданиеtronэффективных фильтров для подозрительных электронных писем.
Разведывательное сообщество США давно заявляет, что кибероперации в настоящее время являются одним из основных инструментов Северной Кореи для обхода санкций.
