OpenAI виявила та заблокувала хакерів з росії, Китаю та Північної Кореї, які використовували ChatGPT для кібератак

OpenAI повідомила про три хакерські групи, які за допомогою ChatGPT створювали шкідливе ПЗ. Також використовувалися різні акаунти ChatGPT для тестування та налагодження компонентів, що забезпечують крадіжку даних і подальшу експлуатацію.

По-перше, виявили російськомовну групу хакерів, яка застосовувала чатбот для створення та доопрацювання трояна віддаленого доступу (RAT) і програми для викрадення облікових даних, оптимізованої для уникнення виявлення, пише The Hacker News.

OpenAI заявила: «Ці облікові записи, схоже, пов’язані з російськомовними злочинними угрупованнями, оскільки ми спостерігали, як вони публікували докази своєї діяльності в Telegram-каналі».

Як зазначили в компанії, хоча LLM відмовлялися генерувати зловмисний контент на прямі запити, хакери знайшли вихід. Вони обійшли заборону, змушуючи ШІ створювати окремі фрагменти коду, які потім збиралися в повноцінні робочі процеси.

Зловмисники застосовували лише кілька акаунтів ChatGPT, але постійно доопрацьовували один і той самий код у різних сеансах. Це вказує на тривалий процес розробки, а не на поодинокі тестові спроби.

Другий кластер активності походив із Північної Кореї. OpenAI встановила, що хакери застосовували ChatGPT для створення шкідливого забезпечення та серверів управління (C2). Вони зосереджувалися на таких завданнях, як розробка розширень Finder для macOS, конфігурація VPN-з’єднань Windows Server або перетворення розширень Chrome на відповідні версії для Safari.

Крім того, зловмисники використовували чатбот для складання фішингових електронних листів, експериментів із хмарними сервісами та функціями GitHub. Також досліджували методи завантаження DLL, виконання в пам’яті, перехоплення API Windows та крадіжки облікових даних.

Третя група заблокованих акаунтів пов’язана з кластером UNK_DropPitch (UTA0388). Ідеться про китайську хакерську групу, відому своїми фішинговими атаками на великі інвестиційні компанії, особливо в тайванській напівпровідниковій галузі, з використанням бекдору HealthKick (GOVERSHELL). Зловмисники генерували контент для фішингових кампаній англійською, китайською та японською мовами; надання допомоги в розробці інструментів для прискорення рутинних завдань (як-от віддалене виконання та захист трафіку за допомогою HTTPS). Крім того, вони шукали інформацію про встановлення open-source інструментів на кшталт nuclei та fscan.