Irańskie grupy powiązane z państwem wykorzystują AI do rozbudowy cyberarsenału - Security Bez Tabu

Irańskie grupy powiązane z państwem wykorzystują AI do rozbudowy cyberarsenału

Cybersecurity news

Wprowadzenie do problemu / definicja

Wykorzystanie generatywnej sztucznej inteligencji przez aktorów zagrożeń staje się jednym z najważniejszych trendów we współczesnym cyberbezpieczeństwie. Najnowsze ustalenia wskazują, że grupy powiązane z Iranem używają modeli językowych i narzędzi AI do przyspieszania działań ofensywnych, w tym tworzenia złośliwego oprogramowania, prowadzenia rekonesansu oraz usprawniania kampanii phishingowych.

Nie oznacza to powstania całkowicie nowej klasy zagrożeń, ale wyraźne zwiększenie skali, szybkości i dostępności dobrze znanych technik ataku. AI pełni tu rolę akceleratora, który skraca czas potrzebny do przygotowania i realizacji operacji.

W skrócie

  • Irańscy aktorzy cyberzagrożeń wykorzystują AI do wzmacniania operacji ofensywnych i działań informacyjnych.
  • Zastosowania obejmują rozwój malware, analizę podatności, rozpoznanie środowisk OT i ICS oraz prowadzenie wielojęzycznych kampanii socjotechnicznych.
  • AI skraca czas od planowania do wykonania ataku, obniża próg wejścia dla operatorów i zwiększa skuteczność działań wymierzonych w organizacje z USA, regionu MENA oraz infrastrukturę o podwyższonym znaczeniu operacyjnym.

Kontekst / historia

Przez lata irańskie grupy APT oraz powiązane z nimi kolektywy hacktywistyczne były kojarzone z kampaniami szpiegowskimi, destrukcyjnymi operacjami cybernetycznymi i atakami na infrastrukturę krytyczną oraz sektor prywatny. Obecnie obserwowany jest kolejny etap ewolucji tych działań: integracja narzędzi AI z istniejącym playbookiem operacyjnym.

Według opisywanych analiz duże modele językowe nie zastępują operatorów, lecz zwiększają tempo realizacji konkretnych zadań. Dotyczy to przygotowywania treści phishingowych, analizy środowiska ofiary, badania metod eksploatacji oraz generowania wariantów kodu. To jakościowa zmiana, ponieważ umożliwia osiąganie tych samych celów szybciej, taniej i przy mniejszym zapleczu kompetencyjnym.

W tle pojawiają się również wcześniejsze sygnały o nadużywaniu narzędzi AI przez podmioty państwowe. W poprzednich latach ujawniano przypadki użycia modeli językowych do rekonesansu środowisk przemysłowych i analizowania kontrolerów PLC, a obecne obserwacje sugerują, że nie były to działania incydentalne.

Analiza techniczna

Z technicznego punktu widzenia AI jest wykorzystywana jako wsparcie kolejnych etapów łańcucha ataku. Najbardziej prawdopodobne obszary użycia obejmują:

  • generowanie i modyfikowanie skryptów oraz fragmentów kodu malware,
  • automatyzację tworzenia przynęt phishingowych i odpowiedzi w trakcie korespondencji,
  • streszczanie dokumentacji technicznej i tłumaczenie materiałów na języki operatorów,
  • przygotowywanie wariantów exploitów lub kodu pomocniczego do testowania podatności,
  • mapowanie środowisk OT i ICS na podstawie publicznie dostępnych danych oraz dokumentacji.

Szczególnie niepokojący jest wątek dotyczący środowisk przemysłowych. Modele językowe mogą pomóc operatorom szybciej zrozumieć architekturę systemów sterowania, nazewnictwo urządzeń, zależności procesowe oraz potencjalne ścieżki oddziaływania na proces technologiczny. Nawet jeśli AI nie tworzy autonomicznego ataku, może znacząco skrócić etap przygotowania operacji.

Opisane przypadki wskazują również na praktyczne użycie AI w kampaniach malware. Jedna z grup miała wykorzystać narzędzia AI do opracowania kilku wariantów złośliwego oprogramowania dostarczanego przez spreparowane dokumenty biurowe. Taki model pracy oznacza, że operator nie musi budować całego kodu samodzielnie, lecz może iteracyjnie rozwijać próbki przy wsparciu systemu generatywnego.

W innym scenariuszu AI została użyta do dopracowania skryptu służącego do enumeracji i zrzutu baz danych po uzyskaniu dostępu do środowiska ofiary. To pokazuje, że sztuczna inteligencja może być szczególnie przydatna w fazie post-exploitation, gdzie liczy się szybkie dostosowanie narzędzi do konkretnej infrastruktury.

Warto podkreślić, że obecnie bardziej realny jest scenariusz wykorzystywania ogólnodostępnych lub pośrednio dostępnych modeli do wspierania konkretnych zadań technicznych i językowych niż istnienie w pełni autonomicznych ofensywnych systemów AI używanych operacyjnie.

Konsekwencje / ryzyko

Największym zagrożeniem nie jest sama inteligencja tych narzędzi, lecz kompresja czasu działania atakującego. Organizacje mają coraz mniej czasu na wykrycie kampanii, ponieważ AI pozwala szybciej przygotować infrastrukturę ataku, materiały socjotechniczne i kod operacyjny.

W praktyce oznacza to wzrost skuteczności phishingu, zwłaszcza w kampaniach wielojęzycznych i ukierunkowanych. Zwiększa się również tempo adaptacji malware do konkretnego celu, a bariera kompetencyjna dla operatorów maleje, ponieważ AI może działać jako współautor treści, skryptów i analiz technicznych.

Dodatkowe ryzyko dotyczy środowisk OT, gdzie nawet częściowo poprawne rozpoznanie może wystarczyć do przygotowania groźnej operacji zakłócającej. Z perspektywy biznesowej szczególnie narażone są podmioty infrastrukturalne, transport, przemysł, logistyka oraz organizacje posiadające rozproszone środowiska IT i OT.

Rekomendacje

Organizacje powinny dostosować strategie obronne do scenariusza, w którym AI wspiera przeciwnika na każdym etapie ataku. Kluczowe działania obejmują:

  • Wzmocnienie ochrony poczty i warstwy tożsamości poprzez odporne mechanizmy MFA, filtrowanie wiadomości, DMARC, SPF, DKIM oraz monitoring anomalii logowania.
  • Detekcję zachowań zamiast samych sygnatur, z naciskiem na EDR, XDR, telemetrię procesów, analizę skryptów, wykrywanie nadużyć PowerShell, Office, LOLBins i nietypowych połączeń wychodzących.
  • Segmentację i monitoring środowisk OT/ICS, w tym ograniczenie łączności między IT i OT, pasywne monitorowanie ruchu przemysłowego oraz kontrolę zdalnego dostępu.
  • Zarządzanie podatnościami według priorytetu operacyjnego, ponieważ AI może skracać czas między ujawnieniem luki a próbą jej wykorzystania.
  • Ćwiczenia z reakcji na incydenty oparte na scenariuszach, w których przeciwnik szybko modyfikuje payloady i dynamicznie dostosowuje skrypty po uzyskaniu dostępu.
  • Kontrolę użycia własnych narzędzi AI w organizacji, aby ograniczyć ryzyko wycieku danych, prompt injection i nieautoryzowanego przetwarzania informacji wrażliwych.

Podsumowanie

Wykorzystanie AI przez grupy powiązane z Iranem nie oznacza rewolucji w postaci całkowicie nowych technik ataku, ale stanowi istotne przyspieszenie istniejących operacji cybernetycznych. Generatywna AI działa tu jako mnożnik siły, przyspieszając rekonesans, poprawiając jakość phishingu, wspierając rozwój malware i ułatwiając przygotowanie działań przeciwko środowiskom przemysłowym.

Dla organizacji oznacza to konieczność odejścia od modelu obrony wyłącznie reaktywnej. Kluczowe stają się telemetria, detekcja behawioralna, segmentacja środowisk oraz szybsze reagowanie na sygnały wczesnego ostrzegania.

Źródła

  1. Cybersecurity Dive — https://www.cybersecuritydive.com/news/iran-nexus-actors-ai-cyber-ChatGPT-malware/825415/
  2. Recorded Future — Iran’s AI-Enabled Cyber Strategy — https://www.recordedfuture.com/research/irans-ai-enabled-cyber-strategy
  3. Group-IB — Operation Olalampo — https://www.group-ib.com/blog/operation-olalampo/
  4. OpenAI — Disrupting malicious uses of AI: June 2024 — https://www.openai.com/index/disrupting-malicious-uses-of-ai-june-2024/
  5. Check Point Research — https://research.checkpoint.com/