Pohjois-Koreaan liittyvät hakkerit käyttävät tekoälyä Etelä-Korean sotilastunnuksen väärentämiseen tietojenkalasteluhyökkäyksessä

Epäillyn pohjoiskorealaisen hakkerointiryhmän on havaittu käyttävän ChatGPT:tä väärennetyn Etelä-Korean armeijan henkilöllisyystodistuksen luomiseen osana tietojenkalastelukampanjaa, kertoo Bloombergin raportti, joka viittaa eteläkorealaisen kyberturvallisuusyrityksen Geniansin tutkimukseen.

Todellisen kuvan upottamisen sijaan hyökkääjät yhdistivät väärennetyn henkilökortin haittaohjelmiin, jotka on suunniteltu poimimaan arkaluonteisia tietoja laitteista.

Tapaus korostaa, kuinka Pohjois-Korean toimijat käyttävät yhä enemmän tekoälytyökaluja edistääkseen kybervakoilua, ja kohteet vaihtelevat toimittajista ja ihmisoikeusaktivisteista Pohjois-Koreaan keskittyneisiin tutkijoihin.

Hakkerit käyttävät väärennettyjä sotilashenkilöllisyystodistuksia Etelä-Koreassa

Viimeisimpään hyökkäykseen osallistunut ryhmä on tunnistettu Kimsukyksi, epäillyksi Pohjois-Korean valtion tukemaksi vakoiluyksiköksi.

Tutkijoiden mukaan hakkerit laativat luonnoksen Etelä-Korean armeijan henkilökortista ChatGPT:n avulla, mikä sai heidän tietojenkalastelusähköpostinsa näyttämään uskottavammalta.

Sähköposti, joka lähetettiin osoitteesta, joka päättyy .mli.kr – joka muistuttaa läheisesti virallista Etelä-Korean sotilasaluetta – oli suunniteltu huijaamaan vastaanottajat avaamaan liite.

Kun tiedostoa napsautettiin, se otti käyttöön haittaohjelman, joka pystyy poimimaan tietoja.

Kohteina oli eteläkorealaisia toimittajia, ihmisoikeusaktivisteja ja Pohjois-Koreaa tutkivia tutkijoita.

Kuinka monta henkilöä tarkalleen ottaen vaarantui, on edelleen epäselvää.

Kimsukyn historia vakoilusta ja tekoälyn käytöstä

Kimsuky on aiemmin yhdistetty vakoiluyrityksiin eteläkorealaisia ja kansainvälisiä kohteita vastaan.

Yhdysvaltain sisäisen turvallisuuden ministeriö totesi vuonna 2020 antamassaan tiedotteessa, että ryhmä "on todennäköisesti saanut Pohjois-Korean hallinnon tehtäväksi maailmanlaajuisen tiedustelutehtävän".

Geniansin raportti on viimeisin, joka osoittaa, että epäillyt pohjoiskorealaiset hakkerit käyttävät tekoälyä osana toimintaansa.

Elokuussa Anthropic raportoi, että pohjoiskorealaiset hakkerit käyttivät Claude Codea, toista tekoälytyökalua, etätyöpaikkojen turvaamiseen yhdysvaltalaisissa Fortune 500 -yrityksissä.

AI-chatbot auttoi agentteja rakentamaan vakuuttavia väärennettyjä henkilöllisyyksiä, läpäisemään teknisiä arviointeja ja suorittamaan koodaustehtäviä palkkaamisen jälkeen.

Aiemmin tänä vuonna OpenAI ilmoitti kieltäneensä Pohjois-Koreaan liittyvät tilit, jotka käyttivät sen palveluita vilpillisten ansioluetteloiden, saatekirjeiden ja sosiaalisen median sisällön luomiseen osana rekrytointiyrityksiä.

Tutkijat testaavat tekoälyrajoituksia

Geniansin tutkijat vahvistivat, että ChatGPT hylkäsi alun perin yritykset luoda valtion myöntämä henkilöllisyystodistus, koska tällaisten asiakirjojen jäljentäminen on laitonta Etelä-Koreassa.

Kehotetta muuttamalla rajoitukset kuitenkin ohitettiin, ja hakkerit pystyivät luomaan väärennetyn luonnoskuvan.

Tekoälyn käyttö näissä kyberhyökkäyksissä osoittaa, kuinka nopeasti generatiivisia malleja voidaan mukauttaa haitallisiin tarkoituksiin.

Tutkijat varoittavat, että hyökkääjät eivät käytä tekoälyä vain vakuuttavien kuvien luomiseen, vaan myös haittaohjelmien kehittämiseen, hyökkäysskenaarioiden suunnitteluun ja rekrytoijina esiintymiseen.

Pohjois-Korean rahoitusponnisteluihin liittyvät kyberhyökkäykset

Amerikkalaiset viranomaiset ovat pitkään väittäneet, että Pohjois-Korea käyttää kyberhyökkäyksiä, kryptovaluuttavarkauksia ja naamioituja IT-sopimuksia kerätäkseen tiedustelutietoja ja tuottaakseen tuloja.

Yhdysvaltain hallituksen arvioiden mukaan näiden operaatioiden tarkoituksena on kiertää pakotteita ja rahoittaa Pjongjangin ydinaseohjelmaa.

Tietojenkalasteluyritys eteläkorealaisia kohteita vastaan on toinen esimerkki siitä, kuinka tekoälyä integroidaan tällaisiin operaatioihin.

Vaikka hyökkäyksessä käytettiin väärennettyä sotilastunnusta syöttinä, laajempi tavoite pysyi yhdenmukaisena Pohjois-Korean aiemman taktiikan kanssa: tietojen poimiminen ja kybervakoiluvalmiuksien laajentaminen.