Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Google ha identificato il primo caso documentato di utilizzo dell’intelligenza artificiale per sviluppare un exploit zero-day. L’attacco, scritto in Python, puntava ad aggirare l’autenticazione a due fattori in un software open source. Secondo il Google Threat Intelligence Group, gli hacker stanno sfruttando modelli LLM per individuare vulnerabilità logiche avanzate, automatizzare l’analisi CVE e mascherare malware. Il fenomeno segna un cambio di paradigma nella cyber security offensiva.
Google ha segnalato nel suo blog, che per la prima volta, alcuni hacker hanno utilizzato un modello di intelligenza artificiale per individuare e sfruttare una vulnerabilità zero-day. L’exploit scoperto era progettato per aggirare l’autenticazione a due fattori in un popolare strumento open source per l’amministrazione di siti web.
I ricercatori del Google Threat Intelligence Group (GTIG) hanno segnalato il primo caso noto di hacker che probabilmente hanno utilizzato l’intelligenza artificiale per creare un exploit zero-day. L’attacco ha preso di mira un popolare strumento open source per l’amministrazione di sistemi.
Il nome del prodotto non è stato reso noto, né sono state fornite informazioni sui possibili responsabili.
Secondo i ricercatori, gli hacker hanno sviluppato un exploit in Python che aggirava l’autenticazione a due fattori, ma la diffusione su larga scala è stata impedita: Google ha avvisato gli sviluppatori del software vulnerabile ai bug di sicurezza rilevati. Tuttavia, gli esperti considerano l’incidente stesso una pietra miliare nella cybersecurity, poiché l’intelligenza artificiale viene ora utilizzata non solo per generare phishing e malware, ma anche per individuare bug precedentemente sconosciuti.
Gli esperti affermano di essere quasi certi che gli hacker abbiano utilizzato LLM per creare l’exploit. Ciò è suggerito dalla struttura stessa del codice: un gran numero di commenti nella docstring relativi all’addestramento, un punteggio CVSS fittizio e uno stile di script Python eccessivamente orientato all’addestramento, tipico dei dati utilizzati per addestrare i moderni modelli linguistici.
Allo stesso tempo, Google ha specificamente sottolineato di non aver trovato alcuna prova dell’utilizzo di Gemini.
I ricercatori sottolineano inoltre che non si tratta di un bug tipico come la corruzione della memoria o la sanificazione dell’input, che vengono solitamente individuati tramite fuzzing. La vulnerabilità consisteva in un problema logico di alto livello, e sono proprio questo tipo di errori semantici che i sistemi di intelligenza artificiale sono particolarmente abili a rilevare.
Inoltre, un recente rapporto di Google afferma che gruppi cinesi e nordcoreani stanno utilizzando attivamente l’intelligenza artificiale per analizzare le vulnerabilità e sviluppare exploit. Tra questi figurano APT27, APT45, UNC2814, UNC5673 e UNC6201. Ad esempio, UNC2814 ha effettuato il jailbreak di Gemini e manipolato il modello di intelligenza artificiale per impersonare un revisore della sicurezza senior e analizzare il firmware di TP-Link.
Nel frattempo, il gruppo nordcoreano APT45 ha automatizzato l’analisi CVE e la verifica degli exploit proof-of-concept inviando migliaia di query ripetitive all’IA. Google ritiene che senza LLM, supportare un tale volume di ricerca sarebbe praticamente impossibile.
Inoltre, gli esperti hanno osservato che gli hacker legati alla Russia stanno utilizzando codice generato dall’intelligenza artificiale per mascherare i malware CANFAIL e LONGSTREAM. Inoltre, gli hacker hanno anche utilizzato la clonazione vocale e i deepfake basati sull’intelligenza artificiale.
Il rapporto menziona anche la backdoor Android PromptSpy, che ha sfruttato l’API Gemini per effettuare attacchi. Il malware utilizzava il modulo GeminiAutomationAgent e un prompt speciale camuffato da assistente “sicuro” per aggirare i meccanismi di protezione LLM. Ciò consentiva un’interazione automatizzata con l’interfaccia del dispositivo, inclusa l’autenticazione ripetuta tramite codici PIN e sequenze di sblocco.
Google avverte inoltre che gli hacker hanno già iniziato a “industrializzare” l’accesso ai modelli di intelligenza artificiale a pagamento. Per fare ciò, utilizzano la registrazione automatizzata degli account, pool di account e infrastrutture proxy.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]