Un gruppo legato al regime nordcoreano ha iniziato a utilizzare modelli linguistici come Gemini per generare codice dannoso e rubare risorse digitali. Google ha risposto con blocchi e nuove misure di sicurezza, ma il caso segna una svolta nell'uso dell'intelligenza artificiale negli attacchi informatici.
Per anni, modelli linguistici come Gemini sono stati considerati strumenti di produttività, in grado di scrivere email, riassumere documenti o scrivere codice utile. Ma nelle mani sbagliate, quella stessa capacità può essere sfruttata come arma. Il caso del gruppo di hacker nordcoreano lo dimostra. UNC1069Anche noto come Masan, che ha iniziato ad usare Gemini per generare script di phishing e rubare risorse digitali.
Secondo il segnalare Questo gruppo di hacker, parte del Google Threat Intelligence Group (GTIG), ha integrato attivamente l'intelligenza artificiale nelle proprie operazioni. Non si tratta più solo di utilizzare l'intelligenza artificiale per la ricerca o per automatizzare le attività; ora la invocano durante l'esecuzione dei loro attacchi per... generare codice dannoso in tempo realeuna tecnica che Google ha soprannominato “creazione di codice just-in-time”.
Per i ricercatori, questo rappresenta un cambiamento significativo rispetto al malware tradizionale, la cui logica è tipicamente codificata staticamente. Generando codice al volo, gli aggressori possono adattarsi all'ambiente, eludere i sistemi di rilevamento e personalizzare i propri attacchi in base al bersaglio. In altre parole, il malware ora "pensa".
Fai trading sulle tue criptovalute in modo sicuro su Bit2MeCosa cercano gli hacker di Masan? Portafogli, password e phishing multilingue.
L'obiettivo dell'UNC1069, secondo la ricerca, è rubare criptovalutaPer raggiungere questo obiettivo, gli hacker hanno utilizzato il modello di intelligenza artificiale Gemini per eseguire attività molto specifiche che potenziano i loro attacchi. Tra queste:
- Posizione dei dati del portafoglio crittografico: Gli aggressori hanno chiesto al modello di identificare percorsi di file e impostazioni associati alle applicazioni di archiviazione di risorse digitali.
- Generazione di script di accesso: Gemini è stato utilizzato per generare script che consentono l'accesso a storage crittografati o l'estrazione chiavi privateautomatizzare la creazione di codice dannoso.
- Scrivere email di phishing: Altrettanto preoccupante è l'uso di questo modello di intelligenza artificiale per redigere e-mail di phishing altamente persuasive, scritte in più lingue e rivolte ai dipendenti di piattaforme e exchange di criptovalute, con l'obiettivo di ottenere credenziali o infiltrarsi nei sistemi interni.
Questi tipi di attacchi rappresentano un significativo passo avanti nel campo della sicurezza informatica. L'intelligenza artificiale non solo facilita la scalabilità di queste operazioni, ma automatizza anche attività complesse e riduce il margine di errore umano. Inoltre, creando codice dinamico e adattivo, questi script diventano molto più efficaci. più difficile da rilevare dai sistemi antivirus tradizionali, che solitamente si basano su modelli fissi per identificare le minacce esistenti.
Il rapporto preparato da Google evidenzia inoltre che non si tratta di un caso isolato. Altre famiglie di malware stanno adottando approcci simili con modelli linguistici avanzati. Ad esempio, PROMPTFLUX utilizza Gemini per riscrivere il proprio codice VBScript ogni ora, mentre PROMPTSTEAL, collegato al gruppo russo APT28, sfrutta il modello Qwen2.5-Coder per generare comandi Windows in tempo reale.
In breve, questa evoluzione nelle tecniche di attacco basate sull'intelligenza artificiale segna una nuova sfida per la sicurezza digitale nel campo delle criptovalute e non solo.
Crea il tuo account e accedi in modo sicuro al mondo delle criptovalute.Google reagisce: blocco degli account e nuove barriere di sicurezza
Dopo aver rilevato questa attività dannosa, Google ha agito rapidamente. Secondo il GTIG, L'azienda ha bloccato gli account collegati a UNC1069 e ha rafforzato i filtri di accesso a Gemini. per prevenire l'uso improprio di questo strumento. Inoltre, l'azienda ha implementato nuovi sistemi di monitoraggio progettati per rilevare eventuali schemi sospetti nelle query effettuate ai suoi modelli di intelligenza artificiale.
Tra le misure adottate vi sono: limitazioni nella capacità delle loro API per generare codice sensibile o eseguire comandi che potrebbero rappresentare un rischio, nonché filtri più rigorosi che rendono più difficile per gli utenti creare script dannosi. Sono stati inoltre incorporati audit completi per monitorare come vengono utilizzati i modelli, consentendo un'identificazione più accurata di comportamenti insoliti o abusivi.
Tuttavia, Google sottolinea che il problema si estende oltre le sue tecnologie. Molte piattaforme aperte, come quelle di Hugging Face, offrono accesso illimitato a sistemi di intelligenza artificiale che possono essere sfruttati per scopi dannosi. Ciò significa che, anche se le grandi aziende rafforzano le proprie difese, i malintenzionati hanno ancora molteplici possibilità per sfruttare questi strumenti tecnologici sempre più avanzati.
Proteggi i tuoi beni: accedi da Bit2MeCosa significa questo per il futuro della sicurezza informatica?
Il caso UNC1069 rappresenta un momento cruciale nell'evoluzione della sicurezza informatica. Per la prima volta, l'utilizzo di modelli linguistici avanzati è stato confermato nella fase operativa di un vero e proprio attacco informatico, non come mero esperimento, ma come tattica attiva. Google ha rilevato che almeno cinque famiglie di malware hanno iniziato a implementare questa tecnologia, evidenziando una tendenza che potrebbe cambiare le dinamiche della criminalità informatica.
In questo scenario, per le aziende tecnologiche e gli enti regolatori sorgono domande essenziali: Come possiamo impedire che l'intelligenza artificiale venga utilizzata per scopi illegali? Qual è la responsabilità delle aziende che sviluppano questi modelli? È possibile mantenere libero accesso a questi strumenti garantendo al contempo la sicurezza globale?
L'uso dell'intelligenza artificiale negli attacchi rende inoltre più complessa l'identificazione e l'attribuzione dei responsabili. Quando il codice dannoso viene generato dinamicamente da algoritmi, diventa più difficile tracciarne l'origine e distinguere tra un uso legittimo e uno dannoso.
Nel caso specifico di UNC1069, l'obiettivo sembra essere quello di finanziare le attività del regime nordcoreano attraverso il furto di asset digitali, ma questa tecnica potrebbe essere adottata da diversi attori, dalle organizzazioni criminali agli stati con intenzioni ostili. La capacità di generare codice adattato in tempo reale rende l'intelligenza artificiale uno strumento efficiente, ma che presenta anche rischi significativi per la sicurezza informatica globale.
Tuttavia, mentre il progresso dell’intelligenza artificiale sta introducendo nuove sfide alla sicurezza informatica, proprio come altre tecnologie rivoluzionarie nella storia, come l’energia nucleare, la moneta fiat o le criptovalute, L'intelligenza artificiale non è intrinsecamente buona o cattivaIl suo impatto dipende da come i diversi attori lo utilizzano. In altre parole, se da un lato può promuovere innovazione, efficienza e soluzioni innovative in settori come la sanità e l'istruzione, dall'altro può anche essere utilizzato in modo improprio. Pertanto, la chiave sta nel promuovere un quadro etico e normativo che ne massimizzi i benefici e ne minimizzi i rischi, garantendo così uno sviluppo responsabile e sicuro per tutti.
Acquista Bitcoin in modo sicuro da Bit2Me
