นักวิจัยจาก Google Threat Intelligence Group (GTIG) เปิดเผยรายงานสำคัญระบุว่า มีการตรวจพบการใช้ "zero-day exploit" การโจมตีทางไซเบอร์ที่ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่ผู้พัฒนายังไม่เคยค้นพบมาก่อน โดยมุ่งเป้าไปที่เครื่องมือการดูแลเว็บแบบ Opensource ยอดนิยม โดยวิเคราะห์ว่าโค้ดที่ใช้โจมตีนั้น น่าจะถูกสร้างขึ้นโดย AI
เป้าหมายของช่องโหว่นี้คือการ bypass ระบบยืนยันตัวตนแบบสองขั้นตอน หรือ 2FA (Two-Factor Authentication) ในซอฟต์แวร์จัดการระบบที่ได้รับความนิยม แม้การโจมตีจะถูกสกัดไว้ได้ก่อนที่จะเริ่มมีการโจมตีเป็นวงกว้าง แต่เหตุการณ์นี้แสดงให้เห็นว่ากลุ่มผู้โจมตีเริ่มพึ่งพา AI มากขึ้นในการค้นหา และใช้ประโยชน์จากช่องโหว่
Google มีความมั่นใจสูงว่าผู้โจมตีใช้โมเดล AI ในการสร้างโค้ด Python นี้ โดยพิจารณาจากโครงสร้าง และเนื้อหาของโค้ด เช่น โค้ดมีการใส่คำอธิบายในเชิงการศึกษาอย่างละเอียด และใช้รูปแบบ Pythonic ที่เป็นระเบียบตามบทเรียน ซึ่งเป็นลักษณะเฉพาะของข้อมูลที่ใช้เทรนโมเดล LLM
แม้จะยังไม่สามารถระบุอัตลักษณ์ของโมเดล LLM ที่ถูกนำมาใช้ได้อย่างชัดเจน แต่ทาง Google ได้ปฏิเสธความเป็นไปได้ที่ Gemini จะถูกนำไปใช้ในขั้นตอนการโจมตีนี้
หลักฐานเพิ่มเติมที่บ่งชี้ว่ามีการใช้เครื่องมือ LLM ในกระบวนการค้นหาช่องโหว่ คือ ลักษณะของตัวช่องโหว่เอง ซึ่งเป็นช่องโหว่ประเภท Semantic Logic Bug ที่ระบบ AI มีความเชี่ยวชาญเป็นพิเศษในการระบุตำแหน่ง มากกว่าเรื่องความเสียหายของหน่วยความจำ หรือการ sanitization ข้อมูล input ซึ่งโดยทั่วไปมักจะตรวจพบผ่านการใช้เครื่องมือวิเคราะห์แบบ Fuzzing หรือ Static Analysis
Google ได้ดำเนินการแจ้งเตือนผู้พัฒนาซอฟต์แวร์เกี่ยวกับภัยคุกคามนี้แล้ว พร้อมทั้งประสานงานเพื่อยับยั้งการโจมตีได้อย่างทันท่วงที
นักวิจัยจาก GTIG ระบุว่า นี่เป็นครั้งแรกที่ตรวจพบกลุ่มผู้ไม่หวังดี นำ zero-day exploit ที่เชื่อมั่นว่าถูกพัฒนาขึ้นด้วย AI มาใช้ในการโจมตีจริง
นอกจากกรณีนี้ Google ยังตั้งข้อสังเกตว่า กลุ่มแฮกเกอร์จากจีน และเกาหลีเหนือ เช่น APT27, APT45, UNC2814, UNC5673 และ UNC6201 เริ่มใช้โมเดล AI ในการค้นหา และพัฒนาโค้ดสำหรับเจาะระบบอย่างต่อเนื่อง ซึ่งเป็นไปตามแนวโน้มที่เคยระบุไว้ในรายงานเมื่อเดือนกุมภาพันธ์ที่ผ่านมา
ในขณะเดียวกัน พบว่ากลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับรัสเซียใช้ decoy code ที่สร้างโดย AI เพื่ออำพรางการทำงานของมัลแวร์ เช่น CANFAIL และ LONGSTREAM ทำให้ระบบรักษาความปลอดภัยตรวจจับได้ยากขึ้น
Google ยังเผยถึงปฏิบัติการ Overload ของรัสเซียที่ใช้ AI โคลนเสียงร่วมกับ social engineering เพื่อสร้างวิดีโอนักข่าวปลอมเผยแพร่เนื้อหาชวนเชื่อต่อต้านยูเครน ขณะที่ในฝั่ง Android พบแบ็คดอร์ PromptSpy ที่เชื่อมต่อกับ Gemini API ผ่านโมดูล GeminiAutomationAgent เพื่อควบคุมอุปกรณ์โดยอัตโนมัติ
นักวิจัยระบุว่า มัลแวร์นี้ใช้คำสั่งหลอกให้ AI สวมบทบาทเป็นโปรแกรมปกติเพื่อ bypass ระบบความปลอดภัย ทำให้สามารถคำนวณพิกัดหน้าจอเพื่อสั่งการเครื่องได้หลากหลายวิธี รวมถึงใช้ AI ในการ Replay ข้อมูลยืนยันตัวตน ทั้งรูปแบบการลากเส้น และรหัส PIN ได้อย่างแม่นยำ
Google ได้แจ้งเตือนว่า ปัจจุบันกลุ่มผู้โจมตีกำลังยกระดับการเข้าถึงโมเดล AI ระดับพรีเมียมสู่ระดับอุตสาหกรรม โดยใช้ระบบสร้างบัญชีอัตโนมัติ การใช้พร็อกซี และการรวมกลุ่มบัญชี เพื่อดึงขีดความสามารถสูงสุดของ AI มาใช้ในการโจมตีทางไซเบอร์
ที่มา : bleepingcomputer
อัปเดตข้อมูลแวดวงวิทยาศาสตร์ เทคโนโลยี รู้ทันโลกไอที และโซเชียลฯ ในรูปแบบ Audio จาก AI เสียงผู้ประกาศของไทยพีบีเอส ได้ที่ Thai PBS
“รอบรู้ ดูกระแส ก้าวทันโลก” ไปกับ Thai PBS Sci & Tech
