Στα τέλη Νοεμβρίου του 2022, το OpenAI κυκλοφόρησε το ChatGPT, ένα νέο interface για το Large Language Model (LLM), το οποίο δημιούργησε αμέσως ένα κύμα ενδιαφέροντος για την τεχνητή νοημοσύνη και τις πιθανές χρήσεις της.
Ωστόσο, το ChatGPT προσέθεσε επίσης κάτι νέο στο σύγχρονο τοπίο των απειλών στον κυβερνοχώρο, καθώς έγινε γρήγορα αντιληπτό ότι η δημιουργία κώδικα μπορεί να βοηθήσει λιγότερο ειδικευμένους φορείς απειλών να εξαπολύσουν αβίαστα κυβερνοεπιθέσεις.
Στο πρώτο άρθρο σχετικά με αυτό το θέμα στο blog της Check Point Research (CPR), περιγράψαμε πώς το ChatGPT διεξήγαγε με επιτυχία μια πλήρη ροή μόλυνσης, από τη δημιουργία ενός πειστικού spear-phishing email μέχρι την εκτέλεση ενός αντίστροφου κελύφους, ικανό να δέχεται εντολές στα αγγλικά. Το ερώτημα που τίθεται είναι αν πρόκειται απλώς για μια υποθετική απειλή ή αν υπάρχουν ήδη φορείς απειλών που χρησιμοποιούν τεχνολογίες OpenAI για κακόβουλους σκοπούς.
Η ανάλυση της CPR σε διάφορες μεγάλες υπόγειες κοινότητες hacking δείχνει ότι υπάρχουν ήδη οι πρώτες περιπτώσεις εγκληματιών του κυβερνοχώρου που χρησιμοποιούν το OpenAI για την ανάπτυξη κακόβουλων εργαλείων. Όπως υποψιαζόμασταν, ορισμένες από τις περιπτώσεις έδειξαν σαφώς ότι πολλοί εγκληματίες του κυβερνοχώρου που χρησιμοποιούν το OpenAI δεν έχουν καθόλου δεξιότητες ανάπτυξης. Παρόλο που τα εργαλεία που παρουσιάζουμε σε αυτή την έκθεση είναι βασικά, είναι θέμα χρόνου μέχρι οι πιο εξελιγμένοι φορείς απειλών να βελτιώσουν τον τρόπο με τον οποίο χρησιμοποιούν εργαλεία που βασίζονται στην Τεχνητή Νοημοσύνη για κακό.
1η Υπόθεση – Η Δημιουργία ενός Infostealer
Στις 29 Δεκεμβρίου 2022, ένα thread με τίτλο “ChatGPT – Τα Οφέλη του κακόβουλου λογισμικού” εμφανίστηκε σε ένα δημοφιλές underground φόρουμ hacking. Ο εκδότης του αποκάλυψε ότι πειραματιζόταν με το ChatGPT για την αναδημιουργία στελεχών κακόβουλου λογισμικού και τεχνικών που περιγράφονται σε ερευνητικές δημοσιεύσεις και γραφές σχετικά με κοινό κακόβουλο λογισμικό. Ως παράδειγμα, μοιράστηκε τον κώδικα ενός κλέφτη βασισμένου στην Python που αναζητά κοινούς τύπους αρχείων, τους αντιγράφει σε έναν τυχαίο φάκελο μέσα στο φάκελο Temp, τους κάνει ZIP και τους ανεβάζει σε έναν σκληρά κωδικοποιημένο διακομιστή FTP.
Η ανάλυσή του σεναρίου από εμάς επιβεβαιώνει τους ισχυρισμούς του εγκληματία του κυβερνοχώρου. Πρόκειται πράγματι για ένα βασικό κλέφτη, ο οποίος αναζητά 12 κοινούς τύπους αρχείων (όπως έγγραφα MS Office, PDF και εικόνες) σε όλο το σύστημα. Εάν βρεθούν αρχεία ενδιαφέροντος, το κακόβουλο λογισμικό αντιγράφει τα αρχεία σε έναν προσωρινό κατάλογο, τα συμπιέζει και τα στέλνει μέσω διαδικτύου. Αξίζει να σημειωθεί ότι ο δράστης δεν μπήκε στον κόπο να κρυπτογραφήσει ή να στείλει τα αρχεία με ασφάλεια, οπότε τα αρχεία ενδέχεται να καταλήξουν και στα χέρια τρίτων.
Το δεύτερο δείγμα που δημιουργήθηκε από αυτόν τον δράστη με τη χρήση του ChatGPT είναι ένα απλό απόσπασμα Java. Κατεβάζει το PuTTY, ένα πολύ κοινό πρόγραμμα-πελάτη SSH και telnet, και το εκτελεί κρυφά στο σύστημα χρησιμοποιώντας την Powershell. Αυτό το σενάριο μπορεί φυσικά να τροποποιηθεί για να κατεβάσει και να εκτελέσει οποιοδήποτε πρόγραμμα, συμπεριλαμβανομένων κοινών οικογενειών κακόβουλου λογισμικού.
Η προηγούμενη συμμετοχή αυτού του δράστη στο φόρουμ περιλαμβάνει την κοινοποίηση διαφόρων σεναρίων, όπως η αυτοματοποίηση της φάσης μετά την εκμετάλλευση, και ένα πρόγραμμα C++ που επιχειρεί να αποσπάσει διαπιστευτήρια χρήστη. Επιπλέον, μοιράζεται ενεργά σπασμένες εκδόσεις του SpyNote, ενός κακόβουλου λογισμικού Android RAT. Έτσι, συνολικά, το άτομο αυτό φαίνεται να είναι ένας απειλητικός παράγοντας με τεχνολογικό προσανατολισμό και ο σκοπός των αναρτήσεων του είναι να δείξει στους λιγότερο τεχνικά ικανούς εγκληματίες του κυβερνοχώρου πώς να χρησιμοποιούν το ChatGPT για κακόβουλους σκοπούς, με πραγματικά παραδείγματα που μπορούν να χρησιμοποιήσουν άμεσα.
2η Υπόθεση – Η Δημιουργία ενός εργαλείου Encryption
Στις 21 Δεκεμβρίου 2022, ένας παράγοντας απειλής με το όνομα USDoD δημοσίευσε ένα σενάριο Python, το οποίο τόνισε ότι ήταν το πρώτο σενάριο που δημιούργησε ποτέ.
Όταν ένας άλλος εγκληματίας του κυβερνοχώρου σχολίασε ότι το στυλ του κώδικα μοιάζει με τον κώδικα του openAI, ο USDoD επιβεβαίωσε ότι το OpenAI του έδωσε «ένα χεράκι» για να τελειώσει το σενάριο με ωραίο πεδίο εφαρμογής”.
Η ανάλυσή μας επιβεβαίωσε ότι πρόκειται για ένα σενάριο Python που εκτελεί κρυπτογραφικές λειτουργίες. Για να γίνουμε πιο συγκεκριμένοι, πρόκειται στην πραγματικότητα για ένα μείγμα διαφορετικών λειτουργιών υπογραφής, κρυπτογράφησης και αποκρυπτογράφησης. Με την πρώτη ματιά, το σενάριο φαίνεται καλοήθες, αλλά υλοποιεί μια ποικιλία διαφορετικών λειτουργιών:
- Το πρώτο μέρος του script δημιουργεί ένα κρυπτογραφικό κλειδί (συγκεκριμένα χρησιμοποιεί κρυπτογραφία ελλειπτικής καμπύλης και την καμπύλη ed25519), το οποίο χρησιμοποιείται για την υπογραφή αρχείων.
- Το δεύτερο μέρος του script περιλαμβάνει συναρτήσεις που χρησιμοποιούν έναν σκληρά κωδικοποιημένο κωδικό πρόσβασης για την κρυπτογράφηση αρχείων στο σύστημα χρησιμοποιώντας τους αλγορίθμους Blowfish και Twofish ταυτόχρονα σε υβριδική λειτουργία. Αυτές οι συναρτήσεις επιτρέπουν στο χρήστη να κρυπτογραφήσει όλα τα αρχεία σε έναν συγκεκριμένο κατάλογο ή μια λίστα αρχείων.
- Το script χρησιμοποιεί επίσης κλειδιά RSA, χρησιμοποιεί πιστοποιητικά αποθηκευμένα σε μορφή PEM, υπογραφή MAC και συνάρτηση κατακερματισμού blake2 για τη σύγκριση των κατακερματισμών κ.λπ.
Είναι σημαντικό να σημειωθεί ότι όλες οι αντίστοιχες λειτουργίες αποκρυπτογράφησης των λειτουργιών κρυπτογράφησης υλοποιούνται επίσης στο σενάριο. Το σενάριο περιλαμβάνει δύο κύριες συναρτήσεις: η μία χρησιμοποιείται για την κρυπτογράφηση ενός μεμονωμένου αρχείου και την προσθήκη ενός κωδικού ελέγχου ταυτότητας μηνύματος (MAC) στο τέλος του αρχείου και η άλλη κρυπτογραφεί μια σκληρά κωδικοποιημένη διαδρομή και αποκρυπτογραφεί μια λίστα αρχείων που λαμβάνει ως όρισμα.
Όλος ο προαναφερόμενος κώδικας μπορεί φυσικά να χρησιμοποιηθεί με καλοήθη τρόπο. Ωστόσο, αυτό το σενάριο μπορεί εύκολα να τροποποιηθεί για να κρυπτογραφήσει το μηχάνημα κάποιου εντελώς χωρίς καμία αλληλεπίδραση του χρήστη. Για παράδειγμα, μπορεί δυνητικά να μετατραπεί ο κώδικας σε ransomware αν διορθωθούν τα προβλήματα του σεναρίου και του συντακτικού.
Ενώ φαίνεται ότι ο UsDoD δεν είναι developer και έχει περιορισμένες τεχνικές δεξιότητες, είναι ένα πολύ ενεργό και αξιόπιστο μέλος της underground κοινότητας. Ο UsDoD ασχολείται με διάφορες παράνομες δραστηριότητες που περιλαμβάνουν την πώληση πρόσβασης σε παραβιασμένες εταιρείες και κλεμμένες βάσεις δεδομένων. Μια αξιοσημείωτη κλεμμένη βάση δεδομένων που μοιράστηκε πρόσφατα ο USDoD ήταν υποτίθεται η βάση δεδομένων της InfraGard που διέρρευσε.
3η Υπόθεση – Διευκόλυνση ChatGPT για Δραστηριότητα Απάτης
Ένα άλλο παράδειγμα χρήσης του ChatGPT για δόλια δραστηριότητα δημοσιεύτηκε την παραμονή της Πρωτοχρονιάς του 2022 και κατέδειξε ένα διαφορετικό είδος δραστηριότητας κυβερνοεγκληματιών. Ενώ τα δύο πρώτα παραδείγματά μας επικεντρώθηκαν περισσότερο στη χρήση του ChatGPT με στόχο το κακόβουλο λογισμικό, αυτό το παράδειγμα δείχνει μια συζήτηση με τίτλο “Κατάχρηση του ChatGPT για τη δημιουργία σεναρίων Dark Web Marketplaces”. Σε αυτό το θέμα, ο κυβερνοεγκληματίας δείχνει πόσο εύκολο είναι να δημιουργηθεί μια αγορά Dark Web, χρησιμοποιώντας το ChatGPT. Ο κύριος ρόλος της αγοράς στην υπόγεια παράνομη οικονομία είναι να παρέχει μια πλατφόρμα για την αυτοματοποιημένη εμπορία παράνομων ή κλεμμένων αγαθών, όπως κλεμμένοι λογαριασμοί ή κάρτες πληρωμών, κακόβουλο λογισμικό ή ακόμη και ναρκωτικά και πυρομαχικά, με όλες τις πληρωμές σε κρυπτονομίσματα. Για να δείξει πώς μπορεί να χρησιμοποιηθεί το ChatGPT για αυτούς τους σκοπούς, ο κυβερνοεγκληματίας δημοσίευσε ένα κομμάτι κώδικα που χρησιμοποιεί API τρίτου μέρους για να λαμβάνει ενημερωμένες τιμές κρυπτονομισμάτων (Monero, Bitcoin και Etherium) ως μέρος του συστήματος πληρωμών της αγοράς Dark Web.
Στις αρχές του 2023, διάφοροι δράστες άνοιξαν συζητήσεις σε πρόσθετα υπόγεια φόρουμ που επικεντρώνονταν στον τρόπο χρήσης του ChatGPT για δόλια σχέδια. Οι περισσότερες από αυτές επικεντρώνονταν στη δημιουργία τυχαίων έργων τέχνης με μια άλλη τεχνολογία OpenAI (DALLE2) και την πώλησή τους στο διαδίκτυο χρησιμοποιώντας νόμιμες πλατφόρμες όπως το Etsy. Σε ένα άλλο παράδειγμα, ο δράστης της απειλής εξηγεί πώς να δημιουργήσει ένα ηλεκτρονικό βιβλίο ή ένα σύντομο κεφάλαιο για ένα συγκεκριμένο θέμα (χρησιμοποιώντας το ChatGPT) και πωλεί αυτό το περιεχόμενο στο διαδίκτυο.