De komst van AI-hacktools hebben zorgde voor angst voor de nabije toekomst waarin iedereen geautomatiseerde tools kan gebruiken om exploiteerbare kwetsbaarheden op te sporen elk stukje softwareals een soort digitale inbraaksupermacht. Hier in het heden lijkt AI echter een meer alledaagse, zij het nog steeds zorgwekkende, rol te spelen in de toolkit van hackers: het helpt middelmatige hackers een niveau hoger te komen en brede, effectieve malwarecampagnes uit te voeren. Daartoe behoort ook een groep relatief ongeschoolde Noord-Koreaanse cybercriminelen waarvan is ontdekt dat ze AI gebruiken om vrijwel elk onderdeel van een operatie uit te voeren waarbij duizenden slachtoffers zijn gehackt om hun cryptocurrency te stelen.
Woensdag zei cyberbeveiligingsbedrijf Expel onthuld wat het beschrijft als een door de Noord-Koreaanse staat gesponsorde cybercriminaliteitsoperatie die malware voor het stelen van inloggegevens op meer dan 2.000 computers installeerde, specifiek gericht op de machines van ontwikkelaars die werkten aan kleine lanceringen van cryptocurrency, het maken van NFT en Web3-projecten. Door gebruik te maken van de AI-tools van in de VS gevestigde bedrijven, waaronder die van OpenAI, Cursor en Anima, kan de hackergroep – die door Expel HexagonalRodent wordt genoemd – “sfeer gecodeerd“Bijna elk onderdeel van zijn inbraakcampagne, van het schrijven van hun malware tot het bouwen van de nepwebsites van bedrijven die worden gebruikt in zijn phishing-programma’s. Dankzij het door AI ondersteunde hacken kon de groep in drie maanden tijd maar liefst $ 12 miljoen aan cryptocurrency van slachtoffers stelen.
Het meest opvallende aan de hackcampagne HexagonalRodent is niet de verfijning ervan, zegt Marcus Hutchins, de beveiligingsonderzoeker die de groep heeft ontdekt, maar eerder hoe AI-tools een ogenschijnlijk eenvoudige groep in staat stelden een winstgevende diefstal uit te voeren in dienst van de Noord-Koreaanse staat.
“Deze operators hebben niet de vaardigheden om code te schrijven. Ze hebben niet de vaardigheden om infrastructuur op te zetten. AI stelt hen feitelijk in staat dingen te doen die ze anders gewoon niet zouden kunnen doen”, zegt Hutchins, die bekend werd in de cybersecurity-gemeenschap nadat het uitschakelen van de WannaCry-ransomwareworm gemaakt door Noord-Koreaanse hackers.
Met emoji bezaaide, AI-geschreven code
De hackoperatie van HexagonalRodent was erop gericht crypto-ontwikkelaars te misleiden frauduleuze vacatures bij technologiebedrijven, en gaat zelfs zo ver dat ze volledige websites maken voor de nepbedrijven die de slachtoffers rekruteren, vaak gemaakt met AI-webontwerptools. Uiteindelijk kreeg het slachtoffer te horen dat ze als test een codeeropdracht moesten downloaden en voltooien, die de hackers hadden geïnfecteerd met malware die hun machine infiltreerde en inloggegevens stal, waaronder de inloggegevens die in sommige gevallen toegang konden verlenen tot de sleutels die hun crypto-portefeuilles bestuurden.
Die delen van de hackoperatie lijken goed doordacht en effectief te zijn geweest, maar de hackers waren ook onhandig genoeg om delen van hun eigen infrastructuur onbeveiligd te laten, waardoor de aanwijzingen lekten die ze gebruikten om hun malware te schrijven met tools als ChatGPT en Cursor van OpenAI. Ze legden ook een database bloot waarin ze de portefeuilles van slachtoffers volgden, waardoor Expel de totale hoeveelheid cryptocurrency kon schatten die de hackers mogelijk hadden gestolen. (Hoewel deze portemonnees een totale inhoud van $12 miljoen bedroegen, zegt Hutchins dat het bedrijf niet voor elk doelwit kon bevestigen of het volledige bedrag al uit de portemonnees was gehaald of dat de hackers in sommige gevallen nog sleutels van de portemonnees van het slachtoffer moesten bemachtigen, aangezien sommige mogelijk zijn beschermd met hardwarebeveiligingstokens.)
Hutchins analyseerde ook monsters van de malware van de hackers en vond andere aanwijzingen dat deze grotendeels (misschien volledig) met AI was gemaakt. Het was overal grondig geannoteerd met commentaar – in het Engels – dat nauwelijks de typische codeergewoonten van Noord-Koreanen bevatte, ondanks het feit dat sommige command-and-control-servers voor de malware hen aan bekende Noord-Koreaanse hackoperaties koppelden. De code van de malware was ook bezaaid met emoji’s, wat volgens Hutchins in sommige gevallen een aanwijzing kan zijn dat software is geschreven door een groot taalmodel, aangezien programmeurs die op een pc-toetsenbord schrijven in plaats van op een telefoon, zelden de tijd nemen om emoji’s in te voegen. “Het is een behoorlijk goed gedocumenteerd teken van door AI geschreven code”, zegt Hutchins.
