De opkomst van AI-hacktools hebben dat wel zorgde voor angst voor de nabije toekomst waar iedereen geautomatiseerde tools kan gebruiken om exploiteerbare kwetsbaarheden op te sporen elk stukje softwareals een soort digitale inbraak-supermacht. Voorlopig lijkt AI echter een meer alledaagse, zij het nog steeds zorgwekkende, rol te spelen in de toolkits van hackers: middelmatige hackers helpen een niveau hoger te komen en brede, effectieve malwarecampagnes uit te voeren. Het omvat een groep relatief ongeschoolde Noord-Koreaanse cybercriminelen die zijn ontdekt met behulp van kunstmatige intelligentie om vrijwel elk onderdeel van een operatie uit te voeren waarbij duizenden slachtoffers werden gehackt om hun cryptocurrency te stelen.
Woensdag maakte het cybersecuritybedrijf Expel onthuld wat het beschrijft als een door de Noord-Koreaanse staat gesponsorde cybercriminaliteitsoperatie die malware voor het stelen van inloggegevens op meer dan 2.000 computers installeerde, specifiek gericht op ontwikkelaars die werkten aan kleine lanceringen van cryptocurrency, NFT-creatie en Web3-projecten. Met behulp van de AI-tools van in de VS gevestigde bedrijven, waaronder die van OpenAI, Cursor en Anima, kan de hackgroep – die Expel HexagonalRodent noemt – ‘sfeer gecodeerdBijna elk onderdeel van hun inbraakcampagne, van het schrijven van hun malware tot het bouwen van de nep-bedrijfswebsites die in hun phishing-programma’s worden gebruikt. Dankzij deze AI-gebaseerde hacking kon de groep in drie maanden tijd maar liefst $12 miljoen aan cryptocurrency van slachtoffers stelen.
Het meest opvallende aan de hackcampagne HexagonalRodent is niet de verfijning ervan, zegt Marcus Hutchins, de beveiligingsonderzoeker die de groep ontdekte, maar eerder hoe AI-tools een ogenschijnlijk eenvoudige groep in staat stelden een winstgevende diefstal uit te voeren in dienst van de Noord-Koreaanse staat.
“Deze operators hebben niet de vaardigheden om code te schrijven. Ze hebben niet de vaardigheden om infrastructuur op te zetten. AI stelt hen feitelijk in staat dingen te doen die ze anders gewoon niet zouden kunnen doen”, zegt Hutchins, die bekendheid verwierf in de cybersecurity-gemeenschap nadat het uitschakelen van de WannaCry-ransomwareworm gemaakt door Noord-Koreaanse hackers.
Met emoji gevulde, AI-geschreven code
De hackoperatie van HexagonalRodent was erop gericht crypto-ontwikkelaars voor de gek te houden frauduleuze vacatures waarbij technologiebedrijven zo ver gaan dat ze complete websites maken voor de nepbedrijven die de slachtoffers rekruteren, vaak gemaakt met AI-webontwerptools. Uiteindelijk kreeg het slachtoffer te horen dat hij als test een coderingstaak moest downloaden en voltooien, die de hackers hadden geïnfecteerd met malware die hun machine infiltreerde en inloggegevens stal, waaronder de inloggegevens die in sommige gevallen toegang konden geven tot de sleutels die hun crypto-portemonnee bestuurden.
Deze delen van de hackoperatie lijken goed ontwikkeld en efficiënt te zijn, maar de hackers waren ook onhandig genoeg om delen van hun eigen infrastructuur onbeveiligd te laten, en ze lekten de aanwijzingen die ze gebruikten om hun malware te schrijven met tools zoals ChatGPT en Cursor van OpenAI. Ze onthulden ook een database waarin ze de portefeuilles van slachtoffers volgden, waardoor Expel de totale hoeveelheid cryptocurrency kon schatten die de hackers mogelijk hadden gestolen. (Hoewel deze portemonnees samen goed waren voor een totale inhoud van $12 miljoen, zegt Hutchins dat het bedrijf niet voor elk doelwit kon bevestigen of het volledige bedrag al uit de portemonnees was gehaald, of dat de hackers in sommige gevallen nog steeds sleutels van de portemonnees van het slachtoffer moesten bemachtigen, omdat sommige mogelijk zijn beschermd met hardwarebeveiligingstokens.)
Hutchins analyseerde ook monsters van de malware van de hackers en vond andere aanwijzingen dat deze grotendeels – misschien zelfs volledig – met AI was gemaakt. Het was zwaar geannoteerd met overal commentaar – in het Engels – dat nauwelijks de typische codeergewoonten van de Noord-Koreanen bevatte, ondanks enkele command-and-control-servers voor de malware die hen aan bekende Noord-Koreaanse hackoperaties koppelde. De code van de malware was ook gevuld met emoji’s, wat volgens Hutchins in sommige gevallen een aanwijzing kan zijn dat software is geschreven door een belangrijk taalmodel, omdat programmeurs die op een pc-toetsenbord typen in plaats van op een telefoon, zelden de tijd nemen om emoji’s in te voegen. “Dat is een behoorlijk goed gedocumenteerd teken van door AI geschreven code”, zegt Hutchins.
