Google Tehdit İstihbarat Grubu’na göre new research , siber tehdit aktörleri saldırılarının ölçeğini ve karmaşıklığını artırmak için yapay zeka araçlarını giderek daha fazla kullanıyor. Rapor, hem devlet destekli hem de suç gruplarının artık yapay zekayı keşiften veri sızdırmaya kadar bir siber saldırının neredeyse her aşamasına entegre ettiğini gösteriyor.
Daha önceki yıllarda tehdit aktörleri, kimlik avı mesajları yazmak veya hedefler hakkında kamuya açık bilgi toplamak gibi temel görevlere yardımcı olmak için genellikle yapay zekayı kullanıyordu. Google’ın son analizi, bu faaliyetlerin geliştiğini gösteriyor. Saldırganlar yapay zekayı doğrudan kötü amaçlı yazılımlara, altyapıya ve komuta operasyonlarına yerleştiriyor. Rapor, bu değişimi “yapay zeka kötüye kullanımının yeni bir operasyonel aşaması” olarak adlandırıyor.
En önemli bulgulardan biri, yürütülürken büyük dil modellerine dayanan yapay zeka destekli kötü amaçlı yazılımların yükselişini içeriyor. Google, bir yapay zeka modeline bağlanan ve düzenli aralıklarla kendi kodunu yeniden yazan PROMPTFLUX adlı bir kötü amaçlı yazılım ailesi tespit etti. Bu sürekli değişiklik, sabit imzalara dayanan geleneksel antivirüs araçları tarafından tespit edilmesini önlemeye yardımcı olur. PROMPTSTEAL adlı başka bir örnek, önceden yazılmış komut dosyalarına güvenmek yerine veri çalmaya yönelik komutlar oluşturmak için bir yapay zeka modeli kullanıyor.
Bu, siber operasyonların işleyişinde büyük bir artışı temsil ediyor. Yapay zeka, kampanyalarının aktif bir bileşeni haline geldiğinden artık yalnızca saldırganları desteklemek için kullanılmıyor. Google’ın araştırmacıları, bu araçlardan bazılarının çevresel geri bildirimlere dayalı olarak yeni kod oluşturma veya davranışlarını gerçek zamanlı olarak uyarlama yeteneğine sahip olduğunu belirtiyor.
Yapay zeka destekli siber araçlara yönelik yeraltı pazarı da genişliyor. Google, Rusça ve İngilizce forumlarda yapay zeka destekli kimlik avı kitleri, kötü amaçlı yazılım oluşturma programları ve otomatik tarama araçları sunan reklamlar buldu. Birçoğu hız, verimlilik ve ölçek vaat eden profesyonel pazarlama dili kullanılarak tanıtılıyor. Bu hizmetlerin erişilebilirliği, daha az yetenekli suçluların daha önce gelişmiş bilgisayar korsanlığı gruplarıyla sınırlı olan karmaşık operasyonları gerçekleştirmesine olanak tanır.
Devlet destekli aktörler raporun bir diğer odak noktasıdır. Google, Kuzey Kore, İran ve Çin Halk Cumhuriyeti’nden büyük ölçüde yapay zeka sistemlerine dayanan kampanyalar belirledi. Bu gruplar, keşif, kimlik avı, istismar ve veri hırsızlığı da dahil olmak üzere tüm saldırı yaşam döngüsü boyunca üretken yapay zekayı kullanıyor.
Örneğin, Çin bağlantılı grup APT41, C++ ve Go’da kod yazmak, gizlenmiş komuta ve kontrol çerçeveleri oluşturmak ve bulut tabanlı saldırı altyapısı geliştirmek için Google’ın Gemini modelini kullandı. APT42 olarak bilinen İran merkezli bir aktörün, doğal dil sorgularını veritabanı aramalarına dönüştürmek için bir yapay zeka modeli kullandığı, telefon numaralarını bireylere bağlamasına ve seyahat modellerini izlemesine olanak tanıdığı bildirildi. UNC1069 olarak tanımlanan Kuzey Koreli bir grup, Gemini’yi İspanyolca kimlik avı ekleri oluşturmak ve kripto para birimini çalmaya yönelik araçlar geliştirmek için kullandı.
Raporda ayrıca tehdit aktörlerinin kısıtlı bilgileri elde etmek için yapay zeka korumalarını nasıl manipüle ettiği de ayrıntılarıyla anlatılıyor. Bazı saldırganlar, isteklerinin zararsız görünmesini sağlamak için araştırmacı, öğrenci veya siber güvenlik yarışması katılımcısı gibi davranır. Bunu yaparak güvenlik sistemlerini atlarlar ve kimlik avı kitleri, kötü amaçlı komut dosyaları veya web kabukları oluşturmaya yönelik teknik talimatlar alırlar. Google, bu taktiklerin yapay zeka sistemlerinin amacı yorumlama biçimindeki zayıflıklardan yararlandığını belirtiyor.
Yapay zeka odaklı saldırıların büyümesi, savunucular için ciddi zorluklar ortaya çıkarıyor. Bilinen kötü amaçlı yazılım örneklerine, statik imzalara veya öngörülebilir kalıplara dayanan geleneksel algılama yöntemleri, sürekli değişen veya harici yapay zeka modellerinden gelen gerçek zamanlı istemlere dayanan kodlara karşı etkisizdir. Google, bu evrimin güvenlik ekiplerinin aktif tehditleri tespit etmesini ve bunlara yanıt vermesini önemli ölçüde zorlaştırdığı konusunda uyarıyor.
Aynı zamanda, yapay zeka destekli araçların daha geniş çapta kullanılabilirliği, siber suçlara giriş engelini azaltıyor. Gelişmiş yetenekler artık gelişmiş kalıcı tehdit gruplarına özel değildir. Abonelik tabanlı hizmetler ve önceden oluşturulmuş AI komut dosyaları, deneyimsiz suçluların minimum teknik bilgi ile güvenilir saldırılar başlatmasına olanak tanır. Bu durum hükümetleri, işletmeleri ve bireyleri hedef alan saldırıların hem sıklığını hem de çeşitliliğini artırdı.
Google, bu gelişmelere karşı çeşitli savunma önlemleri önermektedir. Kuruluşlar güçlü kimlik doğrulamayı zorunlu kılmalı, çok faktörlü doğrulamayı benimsemeli ve kullanıcı hesapları arasında en az ayrıcalık ilkesini uygulamalıdır. Bilinen güvenlik açıklarını hızlı bir şekilde yamalamalı ve anormal davranışları tespit etmek için izleme araçlarını güçlendirmelidirler. Google ayrıca güvenlik ekiplerine olay müdahale planlarını yapay zeka destekli tehditleri içerecek şekilde genişletmelerini ve yeraltı pazarlarında yapay zeka ile ilgili faaliyetleri izleyen tehdit istihbaratı akışlarını entegre etmelerini tavsiye ediyor.
Rapor, savunucuların yapay zeka destekli tehditleri gelecekteki bir endişe olarak değil, acil bir risk olarak ele alması gerektiğini vurguluyor. Üretken yapay zeka ve siber operasyonların birleşimi, saldırganların keşfi otomatikleştirmesine, güvenlik açıklarından daha hızlı yararlanmasına ve gerçek zamanlı olarak değişen uyarlanabilir kötü amaçlı yazılımlar üretmesine olanak tanır. Bu, kuruluşların proaktif algılamayı, sürekli öğrenmeyi ve güvenilir istihbarat sağlayıcılarla işbirliğini benimsemesini gerektirir.
Google tarafından tespit edilen bazı yapay zeka destekli kötü amaçlı yazılımlar test aşamasında kalsa da eğilim açık. Yapay zekanın siber saldırılarda kullanımı hızlanıyor ve meşru ve kötü niyetli kullanım arasındaki uçurum daralıyor. Rapor, savunucuları saldırgan iş akışlarının görünürlüğüne öncelik vermeye, analistleri yapay zeka ile ilgili göstergeleri tanıma konusunda eğitmeye ve uyarlanabilir tehditlere dayanabilecek dayanıklı sistemler tasarlamaya çağırıyor.
Yapay zeka artık küresel siber tehdit ortamının ayrılmaz bir parçası. Dinamik, kendi kendini değiştiren kötü amaçlı yazılımlardan otomatik kimlik avı operasyonlarına kadar, saldırganlar izinsiz girişlerin nasıl ortaya çıktığını yeniden şekillendiriyor. Yapay zekanın kötüye kullanılması konusunda farkındalık yaratan, operasyonel savunmaları güçlendiren ve yapay zeka destekli araçların gelişimini izleyen güvenlik ekipleri, bu hızlı hareket eden tehdit ortamına yanıt vermeye daha hazırlıklı olacak.