Kifinomultabb támadások gyorsabban és nagyobb kiterjedtséggel – ezt nyerték a hekkerek a mesterséges intelligenciával. A WithSecure (a finn F-Secure egykori vállalati üzletága) az oroszként azonosított GreyVibe hekkercsoport ukrajnai tevékenységében olyan mintázatokat figyelt meg, amely az MI intenzív használatára utal. Bár a biztonsági cég elemzői szerint a csapat nem kizárólag állami megrendelésre dolgozik, tavaly augusztus óta elsődleges célpontjai ukrán katonai, kormányzati, civil és üzleti szervezeteket.

Az MI-arzenál a megtévesztő webhelyek létrehozásától az egyedi rosszindulatú programok fejlesztéséig a támadások minden fázisában szerepet kap. Ez persze önmagában nem nagy újdonság, hiszen a hekkerek elsők között látták meg a lehetőséget a felfutó technológiában. A GreyVibe csupán egyfajta sűrítményét adja, hogy milyen módon épülhet egy hekkercsoport teljes egészében az MI-re.

A mesterséges intelligencia alkalmazása persze a hekkerek számára sem kockázatmentes: olyan hibákat vihet a működésükbe, amin keresztül a biztonsági cégek ellenőrzésük alá vonhatják a támadó tevékenységet. A GreyVibe esetében is ez történt: a WithSecure kutatói egy ilyen hiba kihasználásával tudták nyomon követni a bűnözök akcióit.

A hiba ráadásul meglepően triviális volt. Ám ez közel sem azt jelenti, hogy a GreyVibe amatőrökből állna. Csupán arról lehet szó, hogy MI-vel irányítják a teljes operatív tevékenységüket. Inkább vállalják az esetlegesen amatőr hibákat, mert cserébe megkapják a gyorsabb fejlesztés képességét, és olyan skilleket tudnak bevonni, melyek alapból hiányoznak. Rövid idő alatt tudnak új operatív profilt felépíteni, ami megnehezíti tevékenységük nyomon követését és a támadások valódi céljának feltárását.

Személyre szabott fertőzések

Az MI legnagyobb veszélye, hogy a segítségével nagy tömegben lehet végrehajtani személyre szabott támadásokat. A GreyVibe is ezt tette az ukrajnai célpontjainál. Így volt képes célzott és személyre szabott adathalász e-maileket küldeni nagy számban. A levelek hitelességét erősítette, hogy sokszor olyan third-party szolgáltatásokba próbálták becsalni a célpontokat, mint a Google Drive. Ott rendszerint meg kellett nyitni egy fájlt, amelynek hatására elindult egy fertőzési lánc, amelynek végén a felhasználó gépére települt egy kártevő.

De használtak csalinak felnőtt tartalmakat ígérő weboldalakat, társkereső oldalakat hamis személyekkel stb. – melyeket szintén MI-vel hoztak létre.

A WithSecure szerint az MI-használat azt is megnehezíti, hogy egy-egy csoportot történetileg nyomon kövessenek. Egyre nehezebb ugyanis beazonosítani, hogy adott hekkercsoport részt vett-e korábban támadásokban, vagy teljesen új szerveződés. (Ez az MI megjelenéséig nem így volt: az APT29 csoportot például más kutatók Cozy Bearnek, megint mások Midnight Blizzardnak hívják, de vannak olyan attribútumok, melyek alapján bizonyítottnak vélik, hogy a három elnevezés ugyanazt a formációt takarja.)

A GreyVibe tevékenységében egyetlen olyan momentumot találtak, amely összekapcsolhatja korábbi, szintén Ukrajnát célzó támadói csoportokkal, például a 2010-es évek végén feltűnt TrickBottal és egy UAC-0098 néven azonosított hekkercsapattal.

A GreyVibe jelenleg is aktív, tagjai pedig ismeretlenek. A WithSecure szerint az MI segítségével várhatóan tovább erősödnek, és egyre nehezebb lesz tevékenységüket nyomon követni.