OpenAI вжила рішучих заходів, заблокувавши низку облікових записів ChatGPT, пов’язаних із китайськомовними користувачами, які використовували штучний інтелект для розробки та вдосконалення шкідливого програмного забезпечення й фішингових інструментів.
Діяльність цих акаунтів співпадала з повідомленнями галузі про діяльність кіберзагрози UTA0388 (відомої також як UNKDROPPITCH), яка була націлена на тайванський сектор напівпровідників, американські аналітичні центри, а також етнічно-політичні групи, критично налаштовані щодо Комуністичної партії Китаю.
Згідно з жовтневим звітом OpenAI про загрози, заблоковані облікові записи використовували багатофункціональні запити китайською мовою, що включали такі ключові напрями:
- Розробка зашифрованих командно-контрольних серверів (C2), зокрема AES-GCM для зміни сеансових ключів і підтримки активного з’єднання через HTTPS або WebSockets.
- Перевірка процесів та обхід антивірусного захисту, включаючи PowerShell-скрипти для визначення процесів EdgeWebView2 і вимкнення перевірки сертифікатів.
- Створення фішингового контенту, що передбачав формальні ввічливі електронні листи китайською, англійською та японською мовами з регіональними стилістичними й культурними особливостями.
- Автоматизація розвідки за допомогою загальнодоступних сканерів (наприклад, nuclei, fscan) та скриптових викликів API для взаємодії з криптовалютними гаманцями.
Попри складний «клеєвий» код та локалізовані прийоми соціальної інженерії, OpenAI не виявила жодних ознак того, що їхні моделі надавали нові, раніше не задокументовані шкідливі можливості. Всі однозначно шкідливі запити були негайно відхилені системою безпеки ChatGPT.
У рамках заходів із забезпечення безпеки OpenAI деактивувала всі пов’язані облікові записи та передала Індикатори Компрометації (IoC) партнерам із кібербезпеки. Представники Proofpoint та Volexity, які документували кампанії UTA0388, відзначили такі характеристики кібератак:
- Використання варіантів шкідливого ПЗ XenoRAT та GOVERSHELL.
- Цілеспрямовані фішингові атаки на дипломатичні та академічні установи.
- Розгортання командно-контрольних репозиторіїв на GitHub.
OpenAI підкреслює, що суперники прагнули до підвищення ефективності, зокрема швидшої ітерації коду та багато мовних шаблонів для фішингу, однак використання ChatGPT не сприяло поширенню вразливостей zero-day.
Нижче наведено перелік значущих вразливостей CVE, що були залучені в рамках цих кібератак, із відповідними деталями:
| Ідентифікатор CVE | Компонент, який зазнав впливу | Типове використання | Оцінка CVSS 3.1 | Статус |
|---|---|---|---|---|
| CVE-2021-26855 | Microsoft Exchange Server | Початковий доступ через ProxyLogon або подібні уразливості Exchange | 9.1 | Виправлено Microsoft |
| CVE-2023-40477 | Відкриті бібліотеки AES-GCM | Шифрування трафіку C2; статичні ключі у використанні | 7.5 | Усунено оновленнями |
| CVE-2022-41040 | Microsoft Exchange Server | Вторинні експлойти через проксі Exchange | 8.8 | Виправлено Microsoft |
| CVE-2023-24932 | Windows Print Spooler | Підвищення локальних привілеїв для запуску шкідливих payload | 7.8 | Виправлено Microsoft |
Цей приклад блокування свідчить про постійні зміни в кіберзагрозах, де штучний інтелект може бути використаний для посилення існуючих методів кібероперацій.
OpenAI підтверджує свою відданість таким напрямкам роботи:
- Надійне застосування політик безпеки через аналіз поведінкових моделей замість ізольованих запитів.
- Покращення засобів виявлення, моніторингу та співпраці з зовнішніми фахівцями з кібербезпеки.
- Прозорість шляхом регулярних публікацій квартальних звітів про загрози для інформування політиків та професійної спільноти кібербезпеки.
В умовах зростаючої інтеграції штучного інтелекту як у законні, так і в злочинні процеси, галузь кібербезпеки має продовжувати обмінюватися інформацією та Індикаторами Компрометації, щоб випереджати адаптивних кіберзловмисників.
Спеціальна пропозиція до Місяця кібербезпеки: Підвищуйте рівень кваліфікації з більш ніж 100 преміум-курсів з кібербезпеки в рамках діамантового членства EHA. Приєднуйтесь вже сьогодні!
