هکرهای حکومتی ایران و گاف بزرگی که به گوگل دادند!

گزارش جدید «گروه شناسایی و تحلیل تهدیدات سایبری گوگل» (GTIG) زنگ خطر را به صدا درآورده و اعلام کرده است که دوران استفاده ساده هکرها از هوش مصنوعی برای نوشتن ایمیل تمام شده و حالا وارد فاز عملیاتی جدیدی شده‌ایم. هکرها بدافزارهایی ساخته‌اند که به هوش مصنوعی (LLM) مجهز هستند. این بدافزارها به جای داشتن یک کد ثابت، می‌توانند در لحظه حمله، کدهای مخرب جدیدی تولید کنند تا سیستم‌های امنیتی و آنتی‌ویروس‌ها را دور بزنند. این یعنی با یک تهدید کاملا جدید و هوشمند طرف هستیم که می‌تواند خودش را با شرایط تطبیق دهد.

نکته مهم و قابل توجه این گزارش برای ما، اشاره مستقیم به ایران است. گوگل می‌گوید که هکرهای وابسته به حکومت ایران (در کنار کره شمالی و چین) به طور فعال در حال آزمایش و استفاده از هوش مصنوعی جمینای، برای ارتقای عملیات‌های سایبری خود هستند. آن‌ها از هوش مصنوعی برای شناسایی اهداف، ساختن ایمیل‌های فیشینگ بسیار متقاعدکننده و حتی توسعه ابزارهایی برای استخراج داده‌ از سیستم‌های قربانیان استفاده می‌کنند.

بدافزارهایی که در لحظه حمله «فکر» می‌کنند

تا پیش از این، یک بدافزار مانند یک ربات با دستورالعمل‌های ثابت بود. آنتی‌ویروس‌ها یاد می‌گرفتند که امضا یا رفتار آن ربات را شناسایی کنند و جلویش را بگیرند. اما نسل جدید بدافزارها که گوگل آن‌ها را شناسایی کرده، دیگر دستورالعمل ثابت ندارند؛ آن‌ها یک «مغز» هوش مصنوعی همراه خود دارند که در لحظه تصمیم‌گیری می‌کند و برای هر هدف سناریویی متناسب با آن اجرا می‌کند

گوگل برای اولین بار بدافزارهایی مانند PROMPTFLUX و PROMPTSTEAL را شناسایی کرده که به‌طور مستقیم در حین اجرای حمله از مدل‌های زبان بزرگ (LLM) استفاده می‌کنند. برای مثال، بدافزار PROMPTFLUX که هنوز در مرحله آزمایشی است، طوری طراحی شده که به API هوش مصنوعی جمینای وصل شود و از آن بخواهد که «کد من را بازنویسی کن تا آنتی‌ویروس‌ها مرا شناسایی نکنند». این بدافزار سپس کد جدید و تغییرشکل‌یافته‌ خود را ذخیره می‌کند و این چرخه را تکرار می‌کند تا همیشه یک قدم از سیستم‌های امنیتی جلوتر باشد.

بدافزار دیگری به نام PROMPTSTEAL که توسط هکرهای دولتی روسیه (APT28) علیه اوکراین استفاده شده، پا را فراتر گذاشته است. این بدافزار به جای داشتن کدهای مخرب، از هوش مصنوعی می‌خواهد که «دستوراتی برای جمع‌آوری اطلاعات سیستم و اسناد آفیس و PDF» برایش بنویسد و سپس همان دستورات را در لحظه اجرا می‌کند. این یعنی خود بدافزار تقریبا «خالی» به نظر می‌رسد و این هوش مصنوعی است که در لحظه آن را مسلح می‌کند.

چگونه هکرها، هوش مصنوعی را گول می‌زنند؟

یکی از جالب‌ترین بخش‌های گزارش، روشی است که هکرها برای دور زدن خود هوش مصنوعی به کار می‌برند. مدل‌های هوش مصنوعی مانند جمینای دارای حفاظ‌های ایمنی هستند تا از تولید محتوای مخرب (مانند کد بدافزار یا راهنمای هک) جلوگیری کنند. اما هکرها در حال «مهندسی اجتماعی» این چت‌بات‌ها هستند. گوگل مشاهده کرده که هکرهای وابسته به چین، وقتی از جمینایni درخواست اطلاعات در مورد یک آسیب‌پذیری خاص کرده‌اند و با پاسخ منفی مواجه شده‌اند، بلافاصله سناریو را تغییر داده‌اند. آن‌ها در پرامپت (دستور) بعدی وانمود کرده‌اند که «دانشجویانی» هستند که در یک مسابقه امنیتی شرکت کرده‌اند و برای حل یک معما به کمک نیاز دارند. هوش مصنوعی که این سناریو را یک فعالیت آموزشی و بی‌خطر تشخیص داده، اطلاعات درخواستی را در اختیار هکر قرار داده است.

این فریب دادن هوش مصنوعی را هکرهای ایرانی هم انجام داده‌اند. گوگل می‌گوید گروه هکری TEMP.Zagros (که با نام‌های MUDDYCOAST یا Muddy Water هم شناخته می‌شود) هنگام تحقیق برای توسعه بدافزارهای سفارشی خود، با محدودیت‌های ایمنی جمینای مواجه شدند. آن‌ها نیز بلافاصله از بهانه‌هایی مانند «دانشجویی هستم که روی پروژه نهایی دانشگاه کار می‌کنم» یا در حال «نوشتن یک مقاله بین‌المللی» در مورد امنیت سایبری هستم، استفاده کردند تا هوش مصنوعی را فریب دهند.

گاف بزرگ هکرهای ایرانی: وقتی کد مخفی را در جمینای پیست می‌کنی!

همین اتکای هکرهای ایرانی به هوش مصنوعی برای توسعه ابزارهای مخرب ، منجر به یک اشتباه مرگبار و یک شکست امنیتی فاحش برای خودشان شده است. گروه TEMP.Zagros (Muddy Water) در حالی که سعی داشتند یک اسکریپت سفارشی بنویسند،به مشکل برخوردند و تصمیم گرفتند از هوش مصنوعی کمک بگیرند.

آن‌ها در یک اشتباه باورنکردنی، کل اسکریپت مخرب خود را کپی کرده و در پیست کردند تا از آن برای رفع اشکال کمک بخواهند. هکرها فراموش کرده بودند که با این کار، تمام اطلاعات حساس و محرمانه خود را به گوگل لو دادند!.

گوگل می‌گوید این اسکریپت حاوی اطلاعات حیاتی مانند دامنه سرور فرماندهی (C2) و کلید رمزنگاری استفاده‌شده در بدافزار بود. این گاف امنیتی بزرگ به گوگل اجازه داد تا به راحتی نه تنها اکانت آن‌ها را مسدود کند، بلکه یک دید مستقیم به زیرساخت‌ها، قابلیت‌های عملیاتی و کل کمپین حمله این گروه پیدا کند و آن را مختل سازد.

ساخت «ابزار تحلیل داده‌های سرقتی» با کمک هوش مصنوعی

فعالیت هکرهای دولتی ایران به همین جا ختم نمی‌شود. گروه دیگری به نام APT42، که تخصص اصلی‌ آن‌ها حملات فیشینگ پیچیده است، از جمینای برای اهداف نگران‌کننده‌تری استفاده کرده است. این گروه از هوش مصنوعی برای نوشتن و ویرایش ایمیل‌های فیشینگ بسیار متقاعدکننده استفاده می‌کرد و خود را به عنوان اعضای اندیشکده‌های معتبر جا می‌زد.

اما یکی از نگران‌کننده‌ترین یافته‌های این گزارش، تلاش گروه APT42 برای ساخت یک «عامل پردازش داده» با استفاده از هوش مصنوعی بود. این ابزار قرار بود به هکرها کمک کند تا داده‌های حساس شخصی را که قبلا دزدیده بودند، به راحتی تحلیل کنند. آن‌ها از هوش مصنوعی می‌خواستند درخواست‌های به زبان ساده (مثل «این شماره تلفن مال کیست؟») را به کوئری‌های پیچیده SQL (زبان جستجو در پایگاه داده) تبدیل کند.

هکرها حتی ساختار داده‌های سرقت‌شده را به جمینایi داده بودند تا هوش مصنوعی بتواند الگوهای پیچیده‌تری را استخراج کند؛ مثلا «الگوهای سفر یک فرد خاص را ردیابی کند» یا «لیستی از افرادی که دارای ویژگی‌های مشترک هستند» را تولید کند. این اقدام نشان می‌دهد که هکرهای دولتی نه تنها در حال سرقت داده‌ها، بلکه در حال ساخت ابزارهای هوشمند برای تبدیل این داده‌های خام به اطلاعات طبقه‌بندی‌شده و قابل استفاده برای مقاصد جاسوسی هستند. گوگل اعلام کرده که این اکانت‌ها را نیز مسدود کرده است.

بازار سیاه هکرهای هوشمند

گزارش گوگل همچنین هشدار می‌دهد که بازار سیاه ابزارهای هک مبتنی بر هوش مصنوعی در سال ۲۰۲۵ به بلوغ کامل رسیده است. دیگر نیازی نیست که یک هکر، خودش متخصص هوش مصنوعی باشد؛ آن‌ها اکنون می‌توانند ابزارهای آماده، چندکاره و پیچیده برای فیشینگ، ساخت بدافزار و تحقیق در مورد آسیب‌پذیری‌ها را از انجمن‌های زیرزمینی خریداری کنند. این ابزارها حتی با مدل‌های اشتراک ماهانه و درگاه پشتیبانی دیسکورد عرضه می‌شوند و دقیقا مانند نرم‌افزارهای تجاری قانونی بازاریابی می‌شوند. این اتفاق، سطح تهدید را به شدت بالا می‌برد، زیرا ورود هکرهای کم‌تجربه‌تر و با منابع محدود را به دنیای جرایم سایبری بسیار آسان‌تر می‌کند.