טור | ChatGPT מעצים את יכולות ההאקרים אך גם את יכולות המגינים
שירן גרינברג, מנהל המחקר וחמ"ל הסייבר של חברת Cynet המתמחה בפתרונות XDR, כותב על ההשלכות של כניסת ChatGPT לתחום הסייבר
ישראל דיפנס
| 07/02/2023
קרדיט תמונה: יעל בר כהן
עם השקתו של מנוע ה- AI החדש והמהפכני ChatGPT מבית היוצר של חברת OpenAI, התעשייה רותחת באינספור יישומים ודרכים לעשות שימוש ביכולות החדשות והחזקות שהמנוע טומן בחובו. בלתי נמנע שבין אלו שמחפשים דרכים להשמיש את ChatGPT ניתן למצוא גם לא מעט גורמים זדוניים אשר מנסים לרתום את היכולות הללו לצרכי מתקפות סייבר.
דוגמא אחת שפורסמה לאחרונה טוענת שהאקרים רוסים עשו שימוש ב-ChatGPT כדי לייצר חתיכות קוד זדוניות. באמצעותן חתיכות הקוד הללו הם יכולים לבצע שורה ארוכה של מתקפות כמו גניבת נתונים, מעקף מוצרי אבטחה (הן הלבנת פעילות זדונית והן כיבוי מערכת האבטחה וביטול הנראות של הפעילות), הצפנה ברמות שונות (של מחשב, של כונן שלם או סדרה של תיקיות מוגדרות מראש) סקריפט שהתפקיד שלו למחוק הכל מהמחשב כדי למנוע שירות.
דוגמאות נוספות לשימושים זדוניים: סריקת וזיהוי חולשות בתשתית, סריקת וזיהוי חולשות בקוד, שימוש בכלים / קבצים לגיטימיים שקיימים במערכות ההפעלה לטובת פעילות זדונית LOLBIN/LOLBAS ועוד. המערכת מותאמת למגוון אינסופי של בקשות עם תרחישים שונים שנענים תוך שניות.
להלן מספר דוגמאות שכל משתמש בעל ידע מקצועי יכול להתנסות בהן.
ניתן לבקש מ-ChatGPT לנסח תבנית למייל פישינג שיתבסס על הודעת ממחלקת ה-IT על עדכון מערכת ההפעלה Windows שתכלול גם URL. תוך שניות המערכת תשלח תבנית למייל פישינג המבוסס על התנאים הללו. שליחת בקשה לתבנית של מייל פישינג שיכלול קובץ אקסל זדוני נענית אף היא תוך שניות.
שליחת בקשה לסקריפט פייתון שימנה את כל תיקיות הרשת המשותפות במערכת Windows. שליחת בקשה לקבל את כל שמות המשתמש והסיסמאות (credentials) של דפדפן כרום שאגורות במערכת Windows. במקרה זה הסקריפט הוא לא ברמה מושלמת אבל איכותו גבוהה באופן משמעותי בהשוואה לכלים שקדמו ל-ChatGPT.
שליחת בקשה לסקריפט ג'אווה שיאתר מספרים של כרטיסי אשראי באינטרנט, מועד פקיעת תוקף, קוד CVV, כתובות פיזיות של בעלי הכרטיסים ומידע נוסף על התשלומים - שישלחו כולם לכתובת URL שצוינה בבקשה.
ביצוע מתקפת כופרה והפצתה דרך RDP. יכולות מסוג זה פורסות בפני האקרים מגוון אינסופי של אפשרויות לשפר את רמתם המקצועית, לפעול במהירות גדולה יותר ואפקטיבית יותר.
עם זאת, אין להתייאש! לצד חיזוק ההאקרים ChatGPT מעשיר את היכולות של המגינים ומאיץ את תגובתם. בעזרתו יכולים חוקרים של אירועי סייבר להפיק תוך שניות תבנית של דו"ח IR מפורט ואיכותי הכולל 6 שלבים שעונה לכל הדרישות של חוקר סייבר ברמה גבוהה. כיום משמש ChatGPT גם להפקת תבניות של ניתוח נוזקות, דו"חות על איומי אבטחה - ומגוון אינסופי של אפשריות נוספות.
משתמשים רגילים מצטרפים ל"חגיגה"
בעזרת ChatGPT יוכל גם משתמש רגיל ללא ידע טכנולוגי לבצע מגוון מתקפות מתוחכמות. האקרים כבר לא צריכים להיות תותחי על טכנולוגיים כמו פעם בשביל להסב נזק משמעותי לארגון. מספר ההאקרים יצמח במהירות ובעזרת ChatGPT רמתם המקצועית, יכולותיהם והנזק הפוטנציאלי שלהם ינסוק ויתקרב לזה של מומחים.
יכולות מסוג זה מתווספות לתהליכי "דמוקרטיזציה" נוספים ובראשם למעבר למודלים של אופרציות וכלים זדוניים בתשלום כדוגמת Ransomware as a Service ו-Malware as a Service. הם זמינים כיום ברשת האפלה לשימוש על בסיס מנוי חודשי ממש כאילו שמדובר בשירות לגיטימי של חברה מסחרית.
לצד ChatGPT כל עולם ה-AI מתפתח בקצב מואץ ומספק יכולות חדשות להאקרים. לדוגמא, מנועים ויזואליים מבוססי AI מאפשרים להם כיום ליצור טופס של חברה או דף נחיתה באינטרנט שנראים לגיטימיים לחלוטין, ברמה כזו שרק חוקר אבטחה מנוסה יכול להבחין בזיוף.
שירן גרינברג, מנהל המחקר וחמ"ל הסייבר של חברת Cynet המתמחה בפתרונות XDR, כותב על ההשלכות של כניסת ChatGPT לתחום הסייבר
קרדיט תמונה: יעל בר כהן
עם השקתו של מנוע ה- AI החדש והמהפכני ChatGPT מבית היוצר של חברת OpenAI, התעשייה רותחת באינספור יישומים ודרכים לעשות שימוש ביכולות החדשות והחזקות שהמנוע טומן בחובו. בלתי נמנע שבין אלו שמחפשים דרכים להשמיש את ChatGPT ניתן למצוא גם לא מעט גורמים זדוניים אשר מנסים לרתום את היכולות הללו לצרכי מתקפות סייבר.
דוגמא אחת שפורסמה לאחרונה טוענת שהאקרים רוסים עשו שימוש ב-ChatGPT כדי לייצר חתיכות קוד זדוניות. באמצעותן חתיכות הקוד הללו הם יכולים לבצע שורה ארוכה של מתקפות כמו גניבת נתונים, מעקף מוצרי אבטחה (הן הלבנת פעילות זדונית והן כיבוי מערכת האבטחה וביטול הנראות של הפעילות), הצפנה ברמות שונות (של מחשב, של כונן שלם או סדרה של תיקיות מוגדרות מראש) סקריפט שהתפקיד שלו למחוק הכל מהמחשב כדי למנוע שירות.
דוגמאות נוספות לשימושים זדוניים: סריקת וזיהוי חולשות בתשתית, סריקת וזיהוי חולשות בקוד, שימוש בכלים / קבצים לגיטימיים שקיימים במערכות ההפעלה לטובת פעילות זדונית LOLBIN/LOLBAS ועוד. המערכת מותאמת למגוון אינסופי של בקשות עם תרחישים שונים שנענים תוך שניות.
להלן מספר דוגמאות שכל משתמש בעל ידע מקצועי יכול להתנסות בהן.
ניתן לבקש מ-ChatGPT לנסח תבנית למייל פישינג שיתבסס על הודעת ממחלקת ה-IT על עדכון מערכת ההפעלה Windows שתכלול גם URL. תוך שניות המערכת תשלח תבנית למייל פישינג המבוסס על התנאים הללו. שליחת בקשה לתבנית של מייל פישינג שיכלול קובץ אקסל זדוני נענית אף היא תוך שניות.
שליחת בקשה לסקריפט פייתון שימנה את כל תיקיות הרשת המשותפות במערכת Windows. שליחת בקשה לקבל את כל שמות המשתמש והסיסמאות (credentials) של דפדפן כרום שאגורות במערכת Windows. במקרה זה הסקריפט הוא לא ברמה מושלמת אבל איכותו גבוהה באופן משמעותי בהשוואה לכלים שקדמו ל-ChatGPT.
שליחת בקשה לסקריפט ג'אווה שיאתר מספרים של כרטיסי אשראי באינטרנט, מועד פקיעת תוקף, קוד CVV, כתובות פיזיות של בעלי הכרטיסים ומידע נוסף על התשלומים - שישלחו כולם לכתובת URL שצוינה בבקשה.
ביצוע מתקפת כופרה והפצתה דרך RDP. יכולות מסוג זה פורסות בפני האקרים מגוון אינסופי של אפשרויות לשפר את רמתם המקצועית, לפעול במהירות גדולה יותר ואפקטיבית יותר.
עם זאת, אין להתייאש! לצד חיזוק ההאקרים ChatGPT מעשיר את היכולות של המגינים ומאיץ את תגובתם. בעזרתו יכולים חוקרים של אירועי סייבר להפיק תוך שניות תבנית של דו"ח IR מפורט ואיכותי הכולל 6 שלבים שעונה לכל הדרישות של חוקר סייבר ברמה גבוהה. כיום משמש ChatGPT גם להפקת תבניות של ניתוח נוזקות, דו"חות על איומי אבטחה - ומגוון אינסופי של אפשריות נוספות.
משתמשים רגילים מצטרפים ל"חגיגה"
בעזרת ChatGPT יוכל גם משתמש רגיל ללא ידע טכנולוגי לבצע מגוון מתקפות מתוחכמות. האקרים כבר לא צריכים להיות תותחי על טכנולוגיים כמו פעם בשביל להסב נזק משמעותי לארגון. מספר ההאקרים יצמח במהירות ובעזרת ChatGPT רמתם המקצועית, יכולותיהם והנזק הפוטנציאלי שלהם ינסוק ויתקרב לזה של מומחים.
יכולות מסוג זה מתווספות לתהליכי "דמוקרטיזציה" נוספים ובראשם למעבר למודלים של אופרציות וכלים זדוניים בתשלום כדוגמת Ransomware as a Service ו-Malware as a Service. הם זמינים כיום ברשת האפלה לשימוש על בסיס מנוי חודשי ממש כאילו שמדובר בשירות לגיטימי של חברה מסחרית.
לצד ChatGPT כל עולם ה-AI מתפתח בקצב מואץ ומספק יכולות חדשות להאקרים. לדוגמא, מנועים ויזואליים מבוססי AI מאפשרים להם כיום ליצור טופס של חברה או דף נחיתה באינטרנט שנראים לגיטימיים לחלוטין, ברמה כזו שרק חוקר אבטחה מנוסה יכול להבחין בזיוף.
