Mi történik, amikor életre kelt a támadókód?
Pár évvel ezelőtt a kiberbiztonság világa még jóval statikusabb terep volt. Aki tisztában volt az alap hálózati protokollokkal, értette a különböző backend rendszerek működését, és magabiztosan mozgott az alapvető operációs környezetekben, az a legtöbb kihívással sikeresen megbirkózott. A darkweb ökoszisztémája és a támadási módszerek főként a ransomware, phishing és klasszikus exploit-alapú támadások köré épültek. Ezek lényege mondhatni egyszerű volt: pár kevésbé jóindulatú hacker leült, majd összerakott egy kártékony kódot, amely képes volt kijátszani a célrendszerek biztonsági mechanizmusait, és éveken át rengeteg károkozó azokat, vagy az ott látható technikákat használta alapul.
Az antivírusok akkoriban kényelmesen elvoltak foglalva a megszokott vírusmintákkal, amelyek száma a maihoz képest elenyésző volt. Így történhetett, hogy a Hidden Tear (HT) 2015-ös GitHub-feltöltése után hosszú évekig tucatnyi ransomware-család élt és virágzott, pusztán a kiszivárgott eredeti forráskód minimális módosításával. Egy évvel később a Mirai botnet forráskódja is hasonló utat járt be és a kódból született variánsok közül sok még ma is aktívnak minősül.
Ahogy azonban a támadások egyre összetettebbé váltak, a klasszikus heurisztika már kevésnek bizonyult. Ezen változtatott az ESET NOD32 több szálon futó és alacsony erőforrásigényű Advanced Heuristics rendszere akkoriban, amely új szintre emelte az ismeretlen fenyegetések elleni harcot.
Bár a ChatGPT 2018-as megjelenésekor voltak már jelek arra, hogy az AI technológia alapjaiban fogja felforgatni a támadási eljárások trendjeit, de a mérföldövet legtöbben 2022 november 30.-ra teszik, a GPT 3,5 nyilvános megjelenésének időpontjára. Ekkor ugyanis soha nem látott idő alatt terjedt el a technológia. Míg a Netflixnek 3,5 év, a Facebooknak 10 hónap kellett az első egymillió felhasználó begyűjtéséhez, addig a ChatGPT mindössze 5 nap alatt összehozta ezt a mennyiséget. Erre a hirtelen változásra nem csak az üzletemberek kapták fel a fejüket, hanem azok a scriptkiddiek, alulfizetett és nem feltétlenül legális megélhetési módban működő technika iránt érdeklődő emberek is, akik nem rettentek el a technológia etikátlan felhasználásától sem.
És mégis hol tartanak most, 2025-ben az etikátlan támadási eljárások? Nos, a kreatív és hatalmas adattömegeket megmozgatni képes AI eszközök szó szerint feje tetejére állították a teljes informatikai szektort. Íme néhány (a teljesség igénye nélkül) azok közül, melyek az elmúlt hónapokban jó pár ősz hajszállal ajándékozták meg a védelmi oldalon dolgozó szakembereket:
Wi-Fi CSI: MI alapú láthatatlan „radar” a hackerek eszköztárában
A Wi-Fi Channel State Information egy olyan támadási eljárás, amelynek érkezését a kiberbiztonsági szakemberek már jóval a tényleges megjelenés előtt jelezték, ám hosszú évekig nem álltak rendelkezésre a megvalósításához szükséges, széles körben hozzáférhető MI eszközök.
A támadás lényege, hogy az 5 és 6 GHz-es Wi-Fi jelek visszaverődése / amplitúdója érzékenyen reagál a környezet legkisebb változásaira. Egy megfelelően beállított MI-rendszer ezeket a sugárterjedési adatokat képes feldolgozni és értelmezni, majd akár térképszerű formában megjeleníteni azokat.
Az MI-alapú jelfeldolgozás szépen csendben a szimpla Wi-Fi-t emelte olyan szintre, amely megközelíti a modern LiDAR rendszerek képességeit és a technológia napjainkban is rohamléptekkel fejlődik. Ennek eredményeként a helyiségben tartózkodó személyek és tárgyak helyzete, mérete, elmozdulásuk is rendkívüli pontossággal lekövethetővé váltak akár falakon keresztül is.
Prokyc: A banki KYC hitelesítés MI alapú realtime megkerülése
Viszonyításként a személyazonosító rendszerek elleni támadások csak 2023-ban 7x-esére növekedtek az előző időszakhoz képest. Ezek főként a tőzsdei és bankszektort, azon belül a KYC jellegű hitelesítés folyamatokat érintették. A példaként említett ProKYC egy mesterséges intelligencia alapú, valós idejű arcmanipulációs és dokumentumhamisító eszköz, amelyet kifejezetten az online személyazonosítási (KYC: Know Your Customer) folyamatok kijátszására terveztek és a demo szerint maximum pár perces beállítást követően az eszköz automatikusan képes valótlan felhasználókat átjuttatni a különböző KYC hitelesítési folyamatokon. A támadás során a célként kiválasztott arc lehet lopott fénykép vagy teljesen MI-generált fotó, ami ráilleszthető egy digitális vagy fizikai azonosító okmányra. Az eszköz ezt követően a statikus képet mozgó, 3D-s avatárrá alakítja, amely a hitelesítési rendszer által elvárt élőképes ellenőrzésnél valósághűen mozog, pislog, fejét fordítja és mindeközben akár kedvesen mosolyog.
Ábra 1.: A ProKYC hitelesítési bypass alkalmazás képernyőképe
Valós idejű deepfake-hang- és képtámadások avagy beköszöntött a phishing új korszaka
A hagyományos phishing próbálkozásokat a felhasználók többsége ma már rutinszerűen törli, különösen az internetes piactereken tömegével érkező hamis ajánlatokat. De mi történik akkor, ha a deepfake technológia is belép a képbe, és a megtévesztés valós időben zajlik? A DeepFaceLive nevű, Igor Perov által még 2021-ben írt és azóta is aktívan fejlesztett tool komoly kihívást jelentett a biztonsági szakembereknek, mára azonban a technológia széles körben elérhetővé vált és jelentősen bővült az eszközpark is. Egy kellően erős GPU-val rendelkező számítógép képessé vált arra, hogy a felhasználót élő telefonos, vagy videókapcsolat során megtévessze és olyan cselekményre vegye rá, amely akár jelentős anyagi kárt is okozhat számára.
Az eljárást napjainkban gyakran különböző voice cloning eljárásokkal is kiegészítik a támadók és a fokozott backend beruházásoknak megfelelően nagyobb profitra is hajtanak. Csak a 2024-től napjainkig tartó időszakot alapul véve a komolyabb technikai felkészültséggel végrehajtott káresetek átlagos eseti vesztesége 20-25 millió USD körül mozog. A támadási metódust nem úgy kell elképzelni, mint egy SnapChat szűrő néha laggoló és észrevehetően kezdetleges megvalósítását, hanem a mai technológiák gyakorlatilag pixelre pontosan képesek már a megadott személy arcát digitálisan valós időben reprodukálni, ahol a karakter megtévesztésig hasonló mimikával és hanggal akár a felkészült szakemberek megtévesztésére is alkalmas.
A támadási technika hatékonyságát jól példázza az Arup Ltd. 2024 májusi esete, ahol már akkor is jól képzett mérnök informatikusok és szakértők dolgoztak. Mégis amikor az állítólagos CFO-tól egy titkos tranzakcióra vonatkozó utalási kérés érkezett emailben a kiberbiztonsági alapismeretekkel rendelkező pénzügy irányába, a hackerek egy rögtönzött videóhívásban nyugtatták le az elsőre még gyanakvó alkalmazottat, aki miután saját szemével bizonyosodott meg csoportos videóhíváson keresztül a teljes vezérkar jóváhagyásáról, elutalta a hozzávetőlegesen 25 millió dollár értékű összeget a támadók számlájára. Mint utólag kiderült, a meeting 6 résztvevője közül 5 MI által generált avatár volt, egyedül szegény alkalmazott képviselte a vállalatot.
„Multi persona” támadások, avagy a nagy számok törvénye
2022 táján figyelt fel a kiberbiztonsági szakma az egyszerűbb phishing támadások ugrásszerű növekedésére. Kis hazánkban ez legtöbbször a kártyaadatok megszerzésére irányult. Az eljárásban bizonyítottan olyan csevegésre képes AI modellek vettek részt, melyek csoportosan, akár egyszerre több száz targettel folytattak egyidejű kommunikációt és próbálták a különböző phishing oldalak irányába terelni a gyanútlan ügyfelet. A változás a régi manuális technikához képest abban rejlik, hogy a folyamat szerves részévé vált az AI, aki a különböző fake profilokon kellő előtréningezést követően csoportosan kommunikált a célpontokkal. Az esetek hátterében különböző, jellemzően kínai lokalitással rendelkező PhaaS (Phishing as a Service) szolgáltatók álltak. Ezek közül az egyik legjelentősebb eszköz a Drakula nevű tool volt, amely közel 20000 hamis domainnel, 200 előre telepített sablonnal és alaposan előtréningezett AI modellekkel próbálta elnyerni a megrendelők bizalmát. Ez az eszköz jellemzően kizárólag a humán döntési feladatokban kérte a támadó operátor beavatkozását és arra tervezték, hogy autonóm módon legyen képes megszabadítani az ügyfelet személyes adataitól.
A támadási eljárás kapcsán szintén említésre érdemes a Vidoc Security pár hónappal ezelőtti esete. Ez a lengyel starup egyébként nem kisebb cégek számára nyújt különböző AI alapú kódvédelmi eszközöket, mint a Netflix, Google, Amazon, vagy éppen a Microsoft. A vállalat pár hónappal ezelőtt toborzási kampányba kezdett, ahol a közel 500 pályázóból kis híján felvették azt a két AI avatárokkal operáló bűnözőt, akik (mint később kiderült) a DPRK IT Workers nevű Észak-koreai multi-persona eszközzel próbáltak állami szinten beszivárogni a vállalat belső berkeibe. Ha a támadás sikerül, Kim Jong és közvetlen kollégái szabad bejárást kaphattak volna több nyugati nagyvállalat IT rendszereibe.
Polimorf agent-to-agent fertőzések megjelenése
Mi történik, ha nem egységes kódot, hanem az LLM modellek működési folyamatát sikerül kompromittálni? A ChatGPT indulását követően megjelentek az első korlátozás-átlépő prompt-injekciós technikák (DAN: Do Anything Now), majd laboratóriumi környezetben olyan PoC jellegű, önreplikáns, de hagyományos bináris kóddal nem rendelkező AI-férgek is megjelentek (pl. Morris II), melyek LLM-agentek között voltak képesek terjedni. Ezzel a technikával a vírusok valójában egy teljesen új fertőzési területre léptek be.
A kutatók szerint egy lehetséges forgatókönyvben egy új AI-modell által generált tartalom (pl. kép, dokumentum) rejtett utasításokat hordozhat, melyeket egy automatizált feldolgozórendszer végrehajt. Ha a tartalom API-n vagy feladatláncon keresztül egy másik agenthez kerül, a fertőzés agent-to-agent módon volt képes terjedni. Ehhez persze kliens- vagy szerveroldali végrehajtási hiba, valamint automatizált feldolgozási lánc is szükséges, de ezek jelenleg a legtöbb backend rendszer sajnálatos velejárói.
Az AI-vezérelt polimorf kártevők minden futtatásnál autonóm módon módosítják kódjukat (strukturális átrendezés, függvénynév-randomizáció, többrétegű titkosítás), majd a payloadot memóriában hajtják végre, esetleg fejlettebb esetben process injection vagy reflective DLL injection, vagy exec() hívás útján. A folyamatos kódváltoztatás miatt az ujjlenyomat folyamatosan módosul, még nyomaiban sem hasonlít a vírusmintában őrzött összehasonlítási adattal. Az entrópia növekszik és a szignatúra-alapú felismerés gyakorlatilag ellehetetlenedik.
Konklúzió
A kiberbiztonság ma már nem a „tűzfal fel, vírusirtó be” korszakát éli, hanem az MI által erőteljesen felturbózott vadnyugatot. Úgyhogy kössük fel a gatyát, frissítsük a playbookokat, és készüljünk fel arra, hogy a következő támadó talán nem is feltétlenül ember lesz, hanem egy igen lelkes algoritmus.
