חוקרי צ'ק פוינט חשפו נוזקה מתקדמת ראשונה שפותחה בעזרת AI
תוך פחות משבוע, מפתח יחיד הצליח ליצור באמצעות בינה מלאכותית תוכנה זדונית מתוחכמת בת 88 אלף שורות קוד, שמסוגלת להשתלט על תשתיות ענן שלמות. "העידן של נוזקות מתוחכמות מבוססות AI החל", אומרים בחברת האבטחה
חוקרי סייבר של צ'ק פוינט חשפו את מה שנחשב למקרה המתועד הראשון של נוזקה מתקדמת שפותחה באמצעות AI – כך לפי דוח שמפרסמת החברה היום (ג').
"במהלך החקירה הראשונית, סברנו שהנוזקה, VoidLink, פותחה על ידי ארגון רב-משאבים, לשימוש מסחרי או כחלק ממבצע ריגול ממוקד", נכתב בדו"ח החברה. "זה לא המקרה. מדובר ברוגלה שנבנתה על ידי שחקן יחיד בהליך פיתוח מבוסס AI, והגיעה לשלב ביצועי בתוך פחות משבוע".
מאז הופעתם של צ'טבוטים מבוססי מודלי שפה גדולים (LLMs), שמאפשרים לכתוב קוד ולפתח אפליקציות באמצעות מתן הוראות לצ'טבוט, כבר זיהו חוקרי סייבר כמה נוזקות שנכתבו באמצעות AI. ואולם, אלו היו באיכות נמוכה ובעלות יכולות מוגבלות. "עד עתה, נוזקות מבוססות AI היו קשורות בעיקר לשחקנים חסרי ניסיון, או שבעיקר העתיקו יכולות של נוזקות קיימות בקוד פתוח. VoidLink היא המקרה הראשון שמדגים עד כמה AI יכולה להיות מסוכנת בידיים של שחקני איום מנוסים יותר", אומרים בצ'קפוינט.
לדברי החוקרים, לנוזקה יש רמה גבוה של בגרות, פונקציונליות מתקדמת, ארכיטקטורה יעילה ומבנה פעולה דינמי וגמיש. "VoidLink בנויה בצורה מודולרית, כך שניתן 'להלביש' עליה יכולות חדשות במהירות, בהתאם לצורך", אמר לכלכליסט אלי סמדג'ה, מנהל קבוצה במחלקת המחקר של צ'קפוינט. "היא כוללת שכבות הסתרה עמוקות במיוחד, שמאפשרות לה להיטמע בתוך המערכת, להסתיר את עצמה, ולהיעלם לחלוטין אם מנסים לבדוק או לנתח אותה.
"מדובר לא רק בקוד זדוני, אלא כמעט במערכת הפעלה שלמה לתקיפה: עם שרת ניהול, ממשק שליטה ודשבורד שמאפשר לנהל את ההתקפה בצורה מסודרת. המיקוד המרכזי של הנוזקה הוא בשליטה על שירותי ענן, דרך גניבת פרטי גישה למערכות ענן, לכלי פיתוח ולמאגרי קוד. המשמעות היא לא רק גישה למחשב בודד, אלא אפשרות להשתלט על תשתיות שלמות, שירותים עסקיים, ואפילו על תהליכי פיתוח והפצה של תוכנה". סמדג'ה הוסיף שהנוזקה פותחה כנראה על ידי גורם עם זיקה לסין.
הפיתוח של הנוזקה היה כנראה בנובמבר האחרון, ונעשה באמצעות Trae Solo, סביבת תכנות ופיתוח מבוססת AI. שגיאה מצד המפתח הביאה לחשיפת קבצי סיוע והסביר שמייצרת הסביבה, ואפשרו לחוקרי צ'ק פוינט לנטר את פיתוחה ואת יכולותיה. "יכולנו לראות בזמן אמת איך היא משתנה במהירות והופכת מיישום פונקציונלי לרשת מקיפה ומודולרית", נכתב בדו"ח. "לאורך זמן, נוספו רכיבים כמו מערכת שליטה ובקרה. מסמכים שדלפו הצביעו על כך ששלושה צוותים נפרדים עבדו על הבטים שונים של הפיתוח במשך 30 שבועות. אולם, בזמן אמת ראינו איך יכולות הנוזקה מתפתחות בקצב מהיר הרבה יותר. חקירה מעמיקה יותר חשפה שתוכנית הפיתוח עצמה ג'ונרטה על ידי מודל AI, ושלמעשה בתוך פחות משהו הצליח אדם אחד להפוך את VoidLink מקונספט למציאות עובדת ומתפתחת".
לפי הדו"ח, הסיבה לפערים היא שמודל ה-AI תכנן את פיתוח הנוזקה כפרויקט בן 30 שבועות שיבוצע על ידי צוות אנושי. ואולם, מכיוון שהמודל ביצע את הפרויקט בעצמו הוא יכול היה להשלים את כתיבת 88 אלף שורות הקוד הנחוצות בתוך כשבוע בלבד מרגע התחלת הפרויקט.
"העידן של נוזקות מתוחכמות מבוססות AI החל", מסכם הדו"ח. "בידיהם של שחקני איום או מפתחי נוזקות עצמאיים ומנוסים, AI יכולה לבנות נוזקות מתוחכמות, חשאיות ויציבות שדומות לכאלו שנוצרו על ידי קבוצות איום מנוסות. החקירה מתירה שאלות פתוחות רבות, אחת מהן מטרידה מאוד. חשפות את פיתוח הנוזקה רק מכיוון שזכינו להצצה נדירה לסביבה של המפתח, דבר שכמעט אינו קורה. מה שמעלה את השאלה: כמה נוזקות מתוחכמות כבר נבנו באותה דרך, אבל לא הותירו עדויות שיחשפו אותן?"
