Świat cyberbezpieczeństwa często skupia się na scenariuszu zagłady: zaawansowanej autonomicznej sztucznej inteligencji, która niczym cyfrowe supermocarstwo będzie w stanie ominąć każdą zaporę sieciową. Jednak niedawne dochodzenie ujawniło znacznie bardziej palące i praktyczne zagrożenie. Zamiast tworzyć „superhakerów”, generatywna sztuczna inteligencja działa jak mnożnik siły dla przeciętnych i niewykwalifikowanych przestępców, umożliwiając im prowadzenie wysoce dochodowych operacji na dużą skalę.
Niedawny raport firmy Expel zajmującej się cyberbezpieczeństwem ujawnił działalność sponsorowanej przez państwo północnokoreańskiej grupy o nazwie HexagonalRodent. Korzystając z komercyjnych narzędzi sztucznej inteligencji, w ciągu zaledwie trzech miesięcy ukradli kryptowalutę o wartości około 12 milionów dolarów.
Kampania w stylu „Vibe Coding”
Tym, co wyróżniało Operation HexagonalRodent, nie był geniusz techniczny, ale umiejętne wykorzystanie publicznie dostępnych narzędzi AI takich firm jak OpenAI, Cursor czy Anima. Grupa celowała w konkretną niszę: programistów pracujących nad małymi projektami w obszarach Web3, NFT i kryptowalut.
Hakerzy zastosowali wyrafinowaną taktykę inżynierii społecznej:
1. Fałszywa rekrutacja: Korzystając z narzędzi do projektowania stron internetowych opartych na sztucznej inteligencji, stworzyli profesjonalnie wyglądające strony internetowe dla fałszywych firm technologicznych.
2. Wyłudzanie informacji poprzez „zadania testowe”: ofiary wabiono fikcyjnymi ofertami pracy, ostatecznie prosząc je o wykonanie „zadania testowego z programowania”.
3. Wstrzykiwanie złośliwego oprogramowania: Te zadania zostały zainfekowane złośliwym kodem kradnącym dane uwierzytelniające, którego celem było przejmowanie portfeli kryptowalutowych.
„Ci operatorzy nie mają umiejętności pisania kodu… Sztuczna inteligencja faktycznie pozwala im robić rzeczy, których inaczej nie mogliby zrobić” – mówi Marcus Hutchins, badacz bezpieczeństwa, który odkrył tę grupę.
Cyfrowe odciski palców: emoji i angielski
Pomimo sukcesu hakerzy pozostawili po sobie niezaprzeczalny dowód na to, że ich dzieło zostało stworzone przez sztuczną inteligencję. Badacze bezpieczeństwa zauważyli w kodzie kilka charakterystycznych znaków:
– Kod pełen emotikonów: Szkodnik często korzystał z emoji, co jest wspólną cechą dużych modeli językowych (LLM), z której profesjonalni programiści rzadko korzystają podczas ręcznego pisania kodu.
– Nietypowe adnotacje: Kod zawierał liczne adnotacje w języku angielskim, co jest nietypowe dla operatorów z Korei Północnej, ale jest standardem w przypadku wyników AI.
– Typowe wzorce: Chociaż złośliwe oprogramowanie działało według przewidywalnych wzorców, które powinny wykryć nowoczesne zabezpieczenia, hakerom udało się pozostać niewykrytymi, atakując indywidualnych programistów, którzy nie posiadali oprogramowania do wykrywania i reagowania na punkty końcowe przedsiębiorstwa (EDR).
„Syndykat przestępczy” z mnożnikiem siły
Odkrycie podkreśla kluczową zmianę w wojnie cybernetycznej Korei Północnej. Reżim stoi przed problemem strukturalnym: ma ogromną kadrę nisko wykwalifikowanych specjalistów IT, ale bardzo niewielu elitarnych hakerów.
Sztuczna inteligencja rozwiązuje ten problem, pozwalając rządowi skalowywać swoje działania bez zwiększania poziomu wiedzy specjalistycznej. Zamiast pełnego zespołu programistów, jeden przeciętny operator może używać sztucznej inteligencji do pisania exploitów, tworzenia stron internetowych i udoskonalania skryptów socjotechnicznych. To zmieniło północnokoreańskie operacje cybernetyczne w coś przypominającego państwowy syndykat przestępczy wykorzystujący skradzione fundusze w celu obejścia międzynarodowych sankcji i finansowania interesów państwa, w tym programu nuklearnego.
Martwy punkt branży
Konsekwencje dla branży cyberbezpieczeństwa są znaczące. Chociaż większość obecnej dyskusji koncentruje się na przyszłych zagrożeniach związanych z „autonomiczną sztuczną inteligencją do hakowania”, prawdziwe niebezpieczeństwo pojawia się już teraz w wyniku niewłaściwego wykorzystania istniejących narzędzi komercyjnych.
Główni dostawcy sztucznej inteligencji już walczą. OpenAI i Anthropic zgłosiły odkrycie i zablokowanie kont w Korei Północnej. Cursor i Anima również pracują nad uniemożliwieniem atakującym dostępu do ich platform.
Dopóki jednak narzędzia te pozostaną dostępne, będą one w dalszym ciągu obniżać barierę wejścia dla cyberprzestępczości. Zagrożeniem nie jest hipotetyczny Skynet, ale zdolność niewykwalifikowanych aktorów do działania z niespotykaną dotąd szybkością i skalą.
Wniosek: sztuczna inteligencja niekoniecznie tworzy bardziej wyrafinowanych hakerów, ale pozwala przeciętnym hakerom działać na profesjonalnym poziomie, przekształcając nisko wykwalifikowaną cyberprzestępczość w wysoce dochodową branżę sponsorowaną przez rząd.
