É amplamente reconhecido no setor de cibersegurança que empresas dos Estados Unidos e da Europa frequentemente discutem sobre grupos de cibercriminosos com possíveis ligações a governos "estrangeiros" ou "orientais".
Acompanhando esse discurso, o time de Threat Intelligence do Google agora reporta a existência de mais de 20 grupos maliciosos que se encaixam nessa categoria.
São 57 equipes de cibercriminosos que podem ter vínculos ou receber apoio de países como China, Irã, Coreia do Norte e Rússia.
Esses grupos estão utilizando o Gemini, uma ferramenta de inteligência artificial do próprio Google, para executar ataques.
"Os agentes de ameaça estão explorando o Gemini para potencializar suas operações, encontrando ganhos de produtividade, mas ainda sem desenvolver novas capacidades. Atualmente, eles utilizam a IA principalmente para pesquisa, resolução de problemas de código e criação e localização de conteúdo", declara o Google Threat Intelligence Group (GTIG) em seu relatório.
Estas organizações criminosas apoiadas por Estados são conhecidas como APTs, ou Advanced Persistent Threats.
Além de ataques a organizações e carteiras de criptomoedas visando lucro financeiro, os APTs também são notórios por ataques que buscam danificar infraestruturas críticas, desestabilizar empresas e roubar segredos industriais.
Exemplo de jailbreak no Gemini:
Usando a Inteligência Artificial
Os pesquisadores do Google começam o relatório afirmando que, na cibersegurança, a IA está prestes a revolucionar a defesa digital, empoderando os defensores e melhorando nossa segurança coletiva.
Os principais modelos de linguagem (LLMs) abrem novas possibilidades para os defensores, desde a análise de telemetria complexa até codificação segura, descoberta de vulnerabilidades e simplificação de operações.
No entanto, algumas dessas mesmas capacidades de IA também estão disponíveis para atacantes, levantando preocupações sobre o potencial uso indevido da IA para fins maliciosos.
Entre as principais descobertas, o GTIG afirma que os APTs recorrem a medidas básicas ou a certos jailbreaks para tentar contornar os controles de segurança do Gemini.
Os cibercriminosos estão na fase de exploração da inteligência artificial e, especificamente, do Gemini, com a intenção de aumentar a eficiência de suas operações - algo que, até agora, se mostrou bem-sucedido apenas para pesquisas, solução de problemas de código e criação/tradução de conteúdo.
As pesquisas realizadas pelos APTs incluem a busca por infraestruturas vulneráveis, provedores de hospedagem gratuita, vulnerabilidades, desenvolvimento de cargas úteis e suporte para scripts maliciosos e técnicas de evasão.
Os grupos cibercriminosos supostamente financiados pelo Irã foram os principais usuários do Gemini, seguidos de perto pelos russos e chineses.
Durante o relatório, o Google destaca as medidas protetivas implementadas em seu modelo de IA, as quais impediram os adversários de alcançar mais sucesso justamente por causa dessas barreiras de segurança.
Adicionalmente, a empresa menciona tentativas de abuso de produtos Google, especialmente novas técnicas de phishing no Gmail, furto de dados, o desenvolvimento de um infostealer para Google Chrome, e desvios de códigos de autenticação Google - todas essas tentativas foram frustradas.
"É importante observar que atores da Coreia do Norte também utilizaram o Gemini para elaborar cartas de apresentação e pesquisarem por empregos - atividades que provavelmente apoiam os esforços da Coreia do Norte em infiltrar clandestinamente trabalhadores de TI em empresas ocidentais", afirmou o GTIG.
Um grupo apoiado pela Coreia do Norte usou o Gemini para escrever cartas de apresentação e propostas para descrições de cargos, pesquisar salários médios para posições específicas e indagar sobre vagas no LinkedIn.
O grupo também recorreu ao Gemini para obter informações sobre intercâmbio de funcionários internacionais.
Muitos desses tópicos seriam comuns a qualquer pessoa pesquisando e aplicando para empregos.
Uma revelação direta feita pelo Google é que fóruns de cibercriminosos já estão oferecendo e vendendo ferramentas de inteligência artificial especificamente projetadas para atividades criminosas — baseadas em modelos de linguagem legítimos.
Essas "IAs do mal" incluem WormGPT, WolfGPT, EscapeGPT, FraudGPT e GhostGPT.
Suas funcionalidades abrangem a criação de golpes de phishing, modelos para ataques corporativos e design de sites falsos.
Quanto aos países envolvidos com APTs e inteligência artificial, o Google identifica que haveria 20, com Irã e China à frente.
Portanto, o GTIG confirma que o Irã apoia cerca de 10 grupos cibercriminosos, enquanto a China tem 20 grupos.
A Coreia do Norte possui nove e o Irã, oito. A Rússia financiaria três
O jailbreak é uma abordagem destacada no relatório, referindo-se a ataques que "quebram" o modelo, permitindo sua utilização sem qualquer medida protetiva.
Basicamente, adaptar a inteligência artificial para fazer qualquer coisa que seja ordenada.
"Atacantes copiaram e colaram prompts publicamente disponíveis e adicionaram pequenas variações nas instruções finais (por exemplo, instruções básicas para criar ransomware ou malware).
O Gemini respondeu com alternativas de segurança e recusou-se a seguir as instruções dos agentes de ameaça", declarou a empresa.
Como exemplo, a equipe de pesquisadores explica que um grupo APT copiou prompts publicamente acessíveis do Gemini e adicionou instruções básicas para realizar tarefas de codificação, incluindo codificação de texto de um arquivo, gravando-o em um executável e escrevendo código Python para uma ferramenta de ataques de negação de serviço (DDoS).
No primeiro caso, o Gemini forneceu o código Python para converter Base64 em hexadecimal, mas deu uma resposta filtrada de segurança quando o usuário pediu o mesmo em VBScript.
Compreender as pesquisas é compreender o adversário.
Assim, o Google Threat Intelligence Group revelou os tópicos mais pesquisados pelos grupos cibercriminosos:
Irã: pesquisas sobre especialistas, organizações internacionais de defesa, organizações governamentais e tópicos relacionados ao conflito entre Irã e Israel.
Coreia do Norte: pesquisa sobre empresas em variados setores e regiões geográficas, atividades militares dos EUA e operações na Coreia do Sul, além de pesquisas sobre provedores de hospedagem gratuita.
China: pesquisa sobre atividades militares dos EUA, provedores de serviços de TI baseados nos EUA, acesso a bancos de dados públicos de inteligência dos EUA, pesquisa sobre faixas de redes-alvo e determinação de nomes de domínios alvos.
Para concluir o relatório, o Google comenta que desenvolve seus sistemas de IA "com medidas de segurança robustas e fortes proteções, testando continuamente a segurança de nossos modelos para aprimorá-los.
Nossas diretrizes políticas e políticas de uso priorizam a segurança e o uso responsável das ferramentas generativas de IA do Google.
O processo de desenvolvimento de políticas do Google inclui a identificação de tendências emergentes, abordagem de ponta a ponta e foco na segurança.
Continuamos aprimorando as proteções em nossos produtos para fornecer proteção escalável a usuários em todo o mundo".
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...