谷歌威胁情报小组 (GTIG) 已针对来自中国、伊朗、俄罗斯和朝鲜的网络犯罪分子发出警告,其他十几个国家正在使用其人工智能 (AI) 应用程序 Gemini 来增强其黑客能力。
根据谷歌周三发布的 TIG 报告,国家资助的黑客一直在使用 Gemini 聊天机器人来提高他们在网络间谍、网络钓鱼活动和其他恶意活动中的生产力。
Google 检查了与已知 APT(高级持续威胁)参与者相关的 Gemini 活动,发现来自二十多个国家的 APT 组织一直在使用大型语言模型 (LLM),主要用于研究、目标侦察、恶意代码开发以及网络钓鱼电子邮件等内容的创建和本地化。
换句话说,这些黑客似乎主要使用 Gemini 作为研究工具来增强他们的操作,而不是开发全新的黑客方法。
目前,还没有黑客成功利用 Gemini 开发全新的网络攻击方法。
“虽然人工智能对于威胁行为者来说是一个有用的工具,但它还没有像有时所描绘的那样改变游戏规则。虽然我们确实看到威胁行为者使用生成式人工智能来执行常见任务,如故障排除、研究和内容生成,但我们没有看到他们开发新功能的迹象,”谷歌说在其报告中。
谷歌追踪到了十多个伊朗支持的组织、二十多个中国支持的组织和九个朝鲜支持的组织的活动。
例如,伊朗威胁行为者是 Gemini 的最大用户,将其用于多种目的,包括国防组织研究、漏洞研究以及为活动创建内容。
特别是,APT42 组织(占伊朗 APT 攻击者的 30% 以上)专注于策划针对政府机构和企业的网络钓鱼活动、对国防专家和组织进行侦察以及生成网络安全主题的内容。
中国 APT 组织主要利用 Gemini 进行侦察、脚本和开发、代码故障排除,以及研究如何通过横向移动、权限升级、数据渗透和检测规避来获得对目标网络的更深入访问。
据观察,朝鲜 APT 黑客使用 Gemini 支持攻击生命周期的多个阶段,包括研究潜在的基础设施和免费托管提供商、侦察目标组织、有效负载开发以及帮助编写恶意脚本和规避方法。
“值得注意的是,朝鲜演员还利用 Gemini 起草求职信和研究工作,这些活动可能会支持朝鲜在西方公司安置秘密 IT 员工的努力,”该公司指出。
“一个朝鲜支持的组织利用 Gemini 起草求职信和职位描述提案,研究特定工作的平均工资,并在 LinkedIn 上询问工作情况。该组织还使用 Gemini 获取有关海外员工交流的信息。许多主题对于任何研究和申请工作的人来说都是常见的。”
与此同时,俄罗斯 APT 攻击者展示了 Gemini 的有限使用,主要用于编码任务,例如将公开可用的恶意软件转换为不同的编程语言以及将加密功能合并到现有代码中。
出于运营安全原因,他们可能避免使用 Gemini,选择远离西方控制的平台以避免监视其活动或使用俄罗斯制造的人工智能工具。
谷歌表示,俄罗斯黑客组织对 Gemini 的使用相对有限,可能是因为它试图阻止西方平台监控其活动或使用俄罗斯制造的人工智能工具。
谷歌表示,它一直在实施保障措施来遏制此类滥用,例如开发具有强大安全措施的人工智能系统,并扰乱滥用 Gemini 的威胁行为者的活动。
该公司表示:“我们调查对我们产品、服务、用户和平台的滥用行为,包括政府支持的威胁行为者的恶意网络活动,并在适当的时候与执法部门合作。” “此外,我们从打击恶意活动中学到的知识会反馈到我们的产品开发中,以提高人工智能模型的安全性。”
