Google afferma che gli hacker stanno abusando di Gemini per alimentare attacchi informatici, e non si limitano solo al falso spam di phishing. un nuovo Rapporto sul gruppo di intelligence sulle minacce di GoogleDice che i gruppi sponsorizzati dallo stato utilizzano Gemini in molte fasi di un’operazione, dalla ricerca iniziale sugli obiettivi al lavoro post-consenso.
L’attività comprende cluster legati a Cina, Iran, Corea del Nord e Russia. Google afferma che i suggerimenti e gli output osservati includono profilazione, copia di ingegneria sociale, traduzione, assistenza alla codifica, test di vulnerabilità e debug quando gli strumenti si interrompono durante l’intrusione. Un’assistenza rapida con le attività di routine può comunque cambiare il risultato.
Aiuto AI, lo stesso vecchio manuale
I ricercatori di Google descrivono l’uso dell’intelligenza artificiale come un’accelerazione, non come una magia. Gli aggressori stanno già esplorando, piazzando trappole, modificando malware e monitorando i bug. Gemini può rafforzare questo ciclo, soprattutto in situazioni in cui gli operatori necessitano di riscritture rapide, supporto linguistico o correzioni del codice sotto pressione.
Il rapporto descrive un’attività legata alla Cina in cui un operatore ha assunto la personalità di un esperto di sicurezza informatica e ha costretto Gemini ad automatizzare l’analisi delle vulnerabilità e a produrre piani di test mirati in uno scenario inventato. Google afferma inoltre che un attore con sede in Cina ha ripetutamente utilizzato Gemini per ricevere assistenza tecnica su debugging, ricerca e intrusioni. Non si tratta tanto di nuove tattiche quanto di meno dossi stradali.
Il rischio non è solo il phishing
Il grande cambiamento è nel tempo. Se i gruppi possono ripetere più rapidamente il targeting e la guida, i difensori guadagnano meno tempo tra i primi segnali e il danno effettivo. Ciò significa anche meno interruzioni evidenti in cui possono verificarsi errori, ritardi o lavoro manuale ripetitivo nei log.
Google sta segnalando anche un’altra minaccia, vale a dire l’estrazione di modelli e la distillazione delle informazioni, che non assomiglia alle classiche truffe. In questo scenario, gli attori con accesso API autorizzato intervengono nel sistema con richieste di replicare come funziona il sistema e perché, quindi utilizzano queste informazioni per addestrare un altro modello. Google definisce questo come un danno alla proprietà commerciale e intellettuale, con un potenziale rischio di ribasso se si espande, incluso un esempio con 100.000 suggerimenti volti a replicare il comportamento in attività non inglesi.
Cosa dovresti guardare dopo
Google afferma di aver disabilitato account e infrastrutture documentati relativi agli abusi di Gemini e di aver aggiunto difese mirate ai classificatori di Gemini. Dice anche che continua a testare e ha fiducia nei guardrail di sicurezza.
La conclusione pratica per i team di sicurezza è presumere che gli attacchi basati sull’intelligenza artificiale si muoveranno più velocemente, non in modo più intelligente. Osserva i miglioramenti improvvisi nella qualità delle esche, le iterazioni degli strumenti più veloci e i modelli di utilizzo delle API insoliti, quindi restringi i runbook di risposta in modo che la velocità non diventi il più grande vantaggio dell’aggressore.
Link alla fonte: www.digitaltrends.com