SG.hu
Adathalászatra használja a Google Geminit Irán
A Google azt állítja, hogy kínai, orosz, iráni és észak-koreai kormányzati ügynököket észlelt, akik a Geminit aljas célokra használják, és a négy közül messze Teherán a legszorgalmasabb rosszindulatú felhasználó.
A webóriás nyomon követte, hogy ezek a nemzetek hogyan használják a Geminit, és nem csak olyan egyszerű dolgokat használt fel a kiszűrésükhöz, mint például az IP-címek, hanem technikai jelek és viselkedési minták kombinációját. És bár ezeknek az államilag támogatott ügynököknek sikerült a Geminit arra használniuk, hogy lefordítsák és testre szabják az adathalászcsalikat az egyes áldozatok számára, információt keressenek a megfigyelési célpontokról, és néhány szoftverszkriptet írjanak - ismerte el a Google -, a társaság azt állítja, hogy a védőkorlátok megakadályozták, hogy a mesterséges intelligencia rosszindulatú programokat generáljon.
Összességében az amerikai internetes óriás úgy véli, hogy Irán és társai nem csinálnak semmi túlságosan felháborítót, és elsősorban az LLM-et információkérésre használják, amire azt tervezték. Más szóval, külföldi kormányok rossz dolgokra használják a Google mesterséges intelligenciáját, de ezzel nincs semmi baj, legalábbis ezt mondják nekünk. "Bár az MI hasznos eszköz lehet a fenyegetésekkel foglalkozó szereplők számára, még nem az az aduász, aminek néha beállítják” - áll a Google jelentésében, amelyet a Threat Intelligence Group (TIG) készített. "Bár látjuk, hogy a fenyegető szereplők generatív MI-t használnak olyan általános feladatok elvégzésére, mint a hibaelhárítás, a kutatás és a tartalomgenerálás, nem látjuk jelét annak, hogy újszerű képességeket fejlesztenének ki.”
A TIG jelentése szerint az iráni kémek tették ki a fent említett kvartett ügynökei által megfigyelt összes Gemini-használat 75 százalékát. A Google csapata több mint 10, Irán által támogatott kibercsapatot azonosított, akik a mesterséges intelligencia szolgáltatást használták, néhányan közülük különösen az Androiddal kapcsolatos biztonság kutatására összpontosítottak. Tágabb értelemben ezek a csoportok a Geminit felderítésre, sebezhetőségek kutatására, ingyenes tárhelyszolgáltatók azonosítására, valamint helyi személyiségek és tartalmak kialakítására használták a kiberműveletekhez. Különösen az iráni APT42 egység használta a Geminit adathalász tartalmak készítésére, ami az összes iráni APT, azaz fejlett fenyegetés-tevékenység 30%-át teszi ki a platformon végzett tevékenységnek.
A kínai kémek is használják a rendszert tartalomkészítésre és alapkutatásra, tőlük 20 csoportot azonosítottak. A jelentés szerint e tevékenység nagy része az amerikai kormányzati intézmények kutatására összpontosít, míg a Peking által támogatott szimatolók a Microsofthoz kapcsolódó rendszerekkel és fordítási munkával kapcsolatban is segítséget kértek. A Google azt is állítja, hogy észak-koreai ügynökök az LLM-jét arra használják, hogy IT-munkásoknak szóló álláspályázatokat írjanak, az elzárt nemzet azon folyamatos erőfeszítéseinek részeként, hogy bejuttassák munkavállalóikat a nyugati nagyvállalatokhoz. Kilenc különböző északi csoport is megpróbált szabadúszó fórumokat találni a Discordon, valamint dél-koreai katonai és nukleáris technológiával kapcsolatos információkat a Geminin keresztül.
Úgy tűnik, az oroszok viszonylag keveset használják a Geminit, mert mindössze három csoportot figyelt meg a csapat. A Google feltételezi, hogy ennek az lehet az oka, hogy vagy belföldön generált LLM-eket használnak, vagy megpróbálják elkerülni a megfigyelést. Vagy talán csak nagyon jól elrejtik az LLM használatát. Az orosz aktivitás mintegy 40 százaléka olyan üzemeltetőktől származott, amelyek „az orosz állam által támogatott, korábban a néhai orosz oligarcha, Jevgenyij Prigozsin által irányított orosz szervezetekhez kapcsolódtak” - közölte a felhőóriás. Ez feltehetően a Wagner-csoportot és annak szárnyait jelenti. A Google megjegyzi, hogy egy orosz ügynök a Geminit tartalomgenerálásra és -manipulációra használta, többek között Kreml-barát cikkek átírására, amelyeket befolyásolási kampányokban használtak fel. Ez pontosan az a fajta szélhámosság, amit Prigozsin Internet Research Agency-je is alkalmazott.
Amikor a Gemini védőkorlátjainak áttöréséről és a motor kihasználásáról van szó, hogy rosszindulatú kódot írjanak vagy személyes adatokat találjanak, a Google azt állítja, hogy az LLM sikeresen blokkolja az ilyen kísérleteket. Megfigyelték, hogy egyre többen próbálnak nyilvánosan ismert sebezhetőségeket használni, majd azokat kissé átalakítva megpróbálják megkerülni a szűrőket, de ezek hatástalannak tűnnek. A hirdetési óriás arról számolt be, hogy az egyik esetben kódolt szöveget kívántak beágyazni egy futtatható fájlba, egy másik esetben pedig Python kódot próbáltak generálni egy szolgáltatásmegtagadási támadáshoz. A Gemini ugyan feldolgozta a Base64-hexre való átalakítási kérést, de a további rosszindulatú lekérdezéseket elutasította.
A Google olyan kísérleteket is észlelt, amelyek arra irányultak, hogy a Geminit más szolgáltatásaival való visszaélésre szolgáló módszerek kutatására használják. A társaság azt állítja, hogy biztonsági rendszerei blokkolták ezeket a próbálkozásokat, és hogy további fejlesztéseken dolgozik ennek kivédésére. A DeepMind-ot is megemlítik, miszerint a laboratórium olyan módszereket dolgoz ki, amelyekkel a mesterséges intelligencia-szolgáltatásokat meg lehet védeni a támadásoktól és a tiltott lekérdezésektől. "A Google DeepMind a generatív mesterséges intelligencia számára fenyegetésmodelleket is fejleszt a potenciális sebezhetőségek azonosítására, és új értékelési és képzési technikákat hoz létre az általuk okozott visszaélések kezelésére” - tette hozzá a jelentés.
A webóriás nyomon követte, hogy ezek a nemzetek hogyan használják a Geminit, és nem csak olyan egyszerű dolgokat használt fel a kiszűrésükhöz, mint például az IP-címek, hanem technikai jelek és viselkedési minták kombinációját. És bár ezeknek az államilag támogatott ügynököknek sikerült a Geminit arra használniuk, hogy lefordítsák és testre szabják az adathalászcsalikat az egyes áldozatok számára, információt keressenek a megfigyelési célpontokról, és néhány szoftverszkriptet írjanak - ismerte el a Google -, a társaság azt állítja, hogy a védőkorlátok megakadályozták, hogy a mesterséges intelligencia rosszindulatú programokat generáljon.
Összességében az amerikai internetes óriás úgy véli, hogy Irán és társai nem csinálnak semmi túlságosan felháborítót, és elsősorban az LLM-et információkérésre használják, amire azt tervezték. Más szóval, külföldi kormányok rossz dolgokra használják a Google mesterséges intelligenciáját, de ezzel nincs semmi baj, legalábbis ezt mondják nekünk. "Bár az MI hasznos eszköz lehet a fenyegetésekkel foglalkozó szereplők számára, még nem az az aduász, aminek néha beállítják” - áll a Google jelentésében, amelyet a Threat Intelligence Group (TIG) készített. "Bár látjuk, hogy a fenyegető szereplők generatív MI-t használnak olyan általános feladatok elvégzésére, mint a hibaelhárítás, a kutatás és a tartalomgenerálás, nem látjuk jelét annak, hogy újszerű képességeket fejlesztenének ki.”
A TIG jelentése szerint az iráni kémek tették ki a fent említett kvartett ügynökei által megfigyelt összes Gemini-használat 75 százalékát. A Google csapata több mint 10, Irán által támogatott kibercsapatot azonosított, akik a mesterséges intelligencia szolgáltatást használták, néhányan közülük különösen az Androiddal kapcsolatos biztonság kutatására összpontosítottak. Tágabb értelemben ezek a csoportok a Geminit felderítésre, sebezhetőségek kutatására, ingyenes tárhelyszolgáltatók azonosítására, valamint helyi személyiségek és tartalmak kialakítására használták a kiberműveletekhez. Különösen az iráni APT42 egység használta a Geminit adathalász tartalmak készítésére, ami az összes iráni APT, azaz fejlett fenyegetés-tevékenység 30%-át teszi ki a platformon végzett tevékenységnek.
A kínai kémek is használják a rendszert tartalomkészítésre és alapkutatásra, tőlük 20 csoportot azonosítottak. A jelentés szerint e tevékenység nagy része az amerikai kormányzati intézmények kutatására összpontosít, míg a Peking által támogatott szimatolók a Microsofthoz kapcsolódó rendszerekkel és fordítási munkával kapcsolatban is segítséget kértek. A Google azt is állítja, hogy észak-koreai ügynökök az LLM-jét arra használják, hogy IT-munkásoknak szóló álláspályázatokat írjanak, az elzárt nemzet azon folyamatos erőfeszítéseinek részeként, hogy bejuttassák munkavállalóikat a nyugati nagyvállalatokhoz. Kilenc különböző északi csoport is megpróbált szabadúszó fórumokat találni a Discordon, valamint dél-koreai katonai és nukleáris technológiával kapcsolatos információkat a Geminin keresztül.
Úgy tűnik, az oroszok viszonylag keveset használják a Geminit, mert mindössze három csoportot figyelt meg a csapat. A Google feltételezi, hogy ennek az lehet az oka, hogy vagy belföldön generált LLM-eket használnak, vagy megpróbálják elkerülni a megfigyelést. Vagy talán csak nagyon jól elrejtik az LLM használatát. Az orosz aktivitás mintegy 40 százaléka olyan üzemeltetőktől származott, amelyek „az orosz állam által támogatott, korábban a néhai orosz oligarcha, Jevgenyij Prigozsin által irányított orosz szervezetekhez kapcsolódtak” - közölte a felhőóriás. Ez feltehetően a Wagner-csoportot és annak szárnyait jelenti. A Google megjegyzi, hogy egy orosz ügynök a Geminit tartalomgenerálásra és -manipulációra használta, többek között Kreml-barát cikkek átírására, amelyeket befolyásolási kampányokban használtak fel. Ez pontosan az a fajta szélhámosság, amit Prigozsin Internet Research Agency-je is alkalmazott.
Amikor a Gemini védőkorlátjainak áttöréséről és a motor kihasználásáról van szó, hogy rosszindulatú kódot írjanak vagy személyes adatokat találjanak, a Google azt állítja, hogy az LLM sikeresen blokkolja az ilyen kísérleteket. Megfigyelték, hogy egyre többen próbálnak nyilvánosan ismert sebezhetőségeket használni, majd azokat kissé átalakítva megpróbálják megkerülni a szűrőket, de ezek hatástalannak tűnnek. A hirdetési óriás arról számolt be, hogy az egyik esetben kódolt szöveget kívántak beágyazni egy futtatható fájlba, egy másik esetben pedig Python kódot próbáltak generálni egy szolgáltatásmegtagadási támadáshoz. A Gemini ugyan feldolgozta a Base64-hexre való átalakítási kérést, de a további rosszindulatú lekérdezéseket elutasította.
A Google olyan kísérleteket is észlelt, amelyek arra irányultak, hogy a Geminit más szolgáltatásaival való visszaélésre szolgáló módszerek kutatására használják. A társaság azt állítja, hogy biztonsági rendszerei blokkolták ezeket a próbálkozásokat, és hogy további fejlesztéseken dolgozik ennek kivédésére. A DeepMind-ot is megemlítik, miszerint a laboratórium olyan módszereket dolgoz ki, amelyekkel a mesterséges intelligencia-szolgáltatásokat meg lehet védeni a támadásoktól és a tiltott lekérdezésektől. "A Google DeepMind a generatív mesterséges intelligencia számára fenyegetésmodelleket is fejleszt a potenciális sebezhetőségek azonosítására, és új értékelési és képzési technikákat hoz létre az általuk okozott visszaélések kezelésére” - tette hozzá a jelentés.