Põhja-Korea hakerid kasutavad Zerionis kunstlikku intelligentsi põhinevat sotsiaalset inseneriteadust

Zerion avaldas, et Põhja-Korea sidumisega hakerid kasutasid eelmisel nädalal AI-toetatud sotsiaalset inseneritööd, et saada ligi 100 000 dollarit ettevõtte soojatest rahakottidest. Kolmapäeval avaldatud pärasttegevuse analüüsis kinnitas krüptorahakoti pakkujas, et kasutajate vahendid, Zerioni rakendused või infrastruktuur ei olnud kompromitteeritud, ja et ettevaatusabinäena keelati veebirakendus ennetavalt.

See summa on krüptohakkimise standardite järgi väike, kuid Zerioni teade tugevdab kasvavat trendi: rüündajad keskenduvad üha rohkem inimoperaatortele AI-võimaldatud tehnikatega. See juhtum on seotud ka kuus hiljem toimunud silmapaistva juhtumiga – Drift Protocoli 280 miljoni dollari suurune ekspluateerimine, millele viidati Põhja-Korea sidumisega operatsioonina – ja illustreerib laiemat muutust, kuidas ohtlikud tegijad krüptofirmasid lähenemisviisi valivad. Inimkiht, mitte firmware ega nutikad lepingud, on muutunud peamiseks sissepääsuks krüptokeskkondadesse.

Põhikokkuvõtted

• AI-toetatud sotsiaalne inseneritöö on tekkinud peamiseks rünnakuveeriks Põhja-Korea (DPRK) sidumisega tegijate puhul, kes sihib sisemisi isikuid, mitte ainult koodivead.
• Zerioni juhtumis sai juurdepääs tiimi liikmete sisse logitud seanssidele, autentimiste andmetele ja soojas rahakotis hoitavatele privaatvõtmetele, mis rõhutab identiteedi ja juurdepääsu haldamise nõrkust.
• Sama ohtliku rühma tegevus on seotud pikaajaliste kampaaniatega, kus teeseldakse usaldusväärseid kontakte ja brände tavalistes koostöökanalites nagu Telegram, LinkedIn ja Slack.
• Sektorit uurivad teadlased on dokumenteerinud kasvavat tööriistapaketti: vale virtuaalsed koosolekud, AI-toetatud piltide ja videote redigeerimine ning muud petlikud meetodid, mis vähendavad sotsiaalse inseneritöö teostamise takistusi.
• Turvalisusanalüütikud hoiatavad, et oht ulatub kaugemale kui vahetusplatvormid – see hõlmab ka arendajaid, kaasautoriteid ja kõiki, kellel on juurdepääs krüptoinfrastruktuurile.

AI muudab ohtude maastikku

Zerioni juhtum illustreerib muutust, kuidas krüptosüsteemides rünnakud toimuvad. Zerion teatas, et rünnaku läbi said rüündajad juurdepääsu mõnede tiimi liikmete sisse logitud seanssidele, autentimiste andmetele ja soojas rahakotis kasutatavatele privaatvõtmetele. Ettevõte kirjeldas seda juhtumit kui AI-toetatud sotsiaalset inseneritööd, viidates sellele, et kunstliku intelligentsi tööriistu kasutati fääkingute sõnumite täpsustamiseks, teeslemiseks ja muude manipuleerivate tehnikatega.

See hindamine vastab varasematele sektorit uurivate teadlaste järeldustele, kes on näinud, et Põhja-Korea sidumisega grupid on oma sotsiaalse inseneritöö käsitlust täpsustanud. Eriti Security Alliance (SEAL) raporteeris, et veebruarist aprillini kahe kuu jooksul jälgiti ja blokeeriti 164 domeeni, mis olid seotud UNC1069-ga, ning märkis, et see rühm korraldab mitmekuuselisi, madala survega kampaaniaid Telegramis, LinkedInis ja Slackis. Tegijad teeslevad tuntud kontakte või usaldusväärseid marke või kasutavad eelnevalt kompromitteeritud kontosid usalduse loomiseks ja juurdepääsu esile tõstmiseks.

Google’i turvalisusüksus Mandiant on detailiselt kirjeldanud selle rühma arenevaid töövooge, sealhulgas dokumenteeritud vale Zoomi koosolekute kasutamist ja sotsiaalse inseneritöö etapis AI-toetatud piltide või videote redigeerimist. Petlikkuse ja AI-tööriistade kombinatsioon muudab vastuvõtjatele keerulisemaks eristada õigeteid suhtlusi petlikutest, suurendades edukate rünnakute tõenäosust.

Põhja-Korea ohtude ulatus laieneb kaugemale vahetusplatvormidest

Zerioni juhtumist laiemalt on teadlased rõhutanud, et Põhja-Korea ohtlikud tegijad on olnud krüptosüsteemides aastaid. MetaMaski arendaja ja turvalisusuuringute teadlane Taylor Monahan märkis, et Põhja-Korea IT-töötajad on osalenud paljudes protokollides ja projektides vähemalt seitse aastat, mis tõendab nende püsivat esinemist kogu sektoris. AI-tööriistade integreerimine neisse kampaaniasse suurendab riski veelgi, võimaldades veenvamaid teeslemissidemeid ja lihtsamaks muutes sotsiaalse inseneritöö töövoogusid.

Elliptici analüütikud kokkuvõtnud muutuvat ohtu oma blogipostituses, rõhutades, et Põhja-Korea rühm tegeleb kahe rünnakuveeruga – üks on keerukas, teine pigem võimaluslik – ja sihib üksikuid arendajaid, projektikaasautoriteid ja kõiki, kellel on juurdepääs krüptoinfrastruktuurile. See vaatlus kajastab seda, mida Zerion ja teised on reaalajas näinud: sotsiaalselt inseneritud rünnakute sissepääs on AI võime tõttu automaatselt ja masstasuliselt petlikku sisu luua kergem kui kunagi varem.

Nägemata jääva narratiivi laienemisel rõhutavad vaatlejad, et inimfaktor – autentimiste andmed, seanssimargid, privaatvõtmed ja usalduslikud suhted – jääb edasi peamiseks sissepääsuks. Taktikate muutus tähendab, et ettevõtted peavad kaitsma mitte ainult oma koodi ja deploy-metoodikaid, vaid ka sisemise suhtluse ja tiimide kriitilistele varadele viivate juurdepääsuteede terviklikkust.

Mida lugejad peaksid järgmisena jälgima

Nii laialdaselt kui need rünnakud on, peaksid turuosalised ja arendajad jälgima mitmeid arenevaid teemasid. Esiteks illustreerivad Drift Protocoli juhtum ja Zerioni juhtum koos, et Põhja-Korea sidumisega tegijad järgivad mitmest etapist koosnevat, pikaajalist lähenemist, kus traditsiooniline sotsiaalne inseneritöö on segatud AI-ga täiendatud sisuloomisega. See tähendab, et lühiajalised lahendused – näiteks ühe üksiku tõrke parandamine või kahtlast koodi tuvastamine – ei piisa ilma tugevdatud identiteedi- ja juurdepääsukontrollita kogu organisatsioonis.

Teiseks viitab AI-toetatud pettuste laienemine tavapärastesse koostöökanalitesse sellele, et kaitsemeeskonnad peaksid tugevdama jälgimist anomaaalsete sisselogimisseansside, ebatavaliste privileegide esile tõstmiste ja kahtlaste teeslemiste suhtes sisemistes sõnumikanalites ja koosolekuplatvormides. Nagu SEAL ja Mandiant on näidanud, kasutavad rünnaku läbi tegijad olemasolevaid usaldussuhteid kahtluse alandamiseks, mistõttu on inimtasemel tähelepanelikkus samaväärne tehniliste kontrollidega.

Lõpuks peaks kogu ekosüsteem ette valmistuma jätkuvatele avalikele teadustulemustele ja analüüsidele, kui uusi juhtumeid ilmub. AI ja sotsiaalse inseneritöö kokkusulamisest tekib küsimusi regulaatorite ja sektori standardite kohta insidentide reageerimisel, tarnijate riskihaldamisel ja kasutajate hariduses. Kui sektor neid õppetunde omaks võtab, on oluline jälgida, kuidas rahakotid, protokollid ja turvalisusfirmad kohanevad rünnaku käsitlusega, kus rõhutatakse üha rohkem inimfaktorit koos AI-tööriistadega.

Jätkuvaks taustaks võivad lugejad tutvuda Drift Protocoli ekspluateerimisanalüüsiga, mis on seotud sama Põhja-Korea sidumisega tegevusega, SEALi teatisega UNC1069 kohta ja Mandianti hindamisega selle rühma tehnikatest, sealhulgas AI-toetatud pettustega. Teadlaste kommentaarid, kes on uurinud Põhja-Korea tegijaid – näiteks Taylor Monahani ja Elliptici – aitavad selgitada ohtu sügavust ja püsivust, rõhutades, et ohtude maastik pole ainult välja pandud nutikate lepingute kohta, vaid ka selle kohta, kuidas tiimid kaitsavad nii oma inimesi kui ka oma koodi.

Selle valdkonna arengut jälgides tuleb pöörata tähelepanu uutele juhtumiuuendustele Zerioni ja Drift Protocoli poolt, ohtlike tegijate tööriistapaki muutustele ning regulaatorite reageerimisele, mille eesmärk on parandada krüptobisneses läbipaistvust ja vastupidavust. Peamine joon jääb selgelt välja: tugevaim kaitse ühendab kindla identiteedihoolduse ja tähelepaneliku, AI-teadmiste põhise turvalisuspositsiooni, mis suudab avastada ja takistada keerukaid sotsiaalse inseneritöö kampaaniaid enne nende tegelikku elluviimist.

Selle artikli algne versioon ilmus pealkirjaga „Põhja-Korea hakerid kasutavad Zerioni suhtluskanalis AI-põhjast sotsiaalset inseneritööd“ Crypto Breaking News’is – teie usaldusväärne allikas krüptonovustest, Bitcoin-uudistest ja blockchaini uuendustest.