Threat Intelligence Group (GTIG) Google mendeteksi kelompok Advanced Persistent Threat (APT) terkait pemerintah yang menggunakan Gemini terutama untuk meningkatkan produktivitas daripada untuk mengembangkan atau melakukan serangan siber baru yang mendukung AI yang dapat melewati pertahanan tradisional.
Mengutip Bleeping Computer, pelaku ancaman telah mencoba memanfaatkan alat AI untuk tujuan serangan mereka, karena utilitas ini setidaknya dapat mempersingkat periode persiapan. Google telah mengidentifikasi aktivitas Gemini yang terkait dengan kelompok APT dari lebih dari 20 negara tetapi yang paling menonjol adalah dari Iran dan Tiongkok.
Di antara kasus yang paling umum adalah bantuan dengan tugas pengkodean untuk mengembangkan alat dan skrip, penelitian tentang kerentanan yang diungkapkan secara publik, memeriksa teknologi (penjelasan, terjemahan), menemukan detail tentang organisasi target, dan mencari metode untuk menghindari deteksi, meningkatkan hak istimewa, atau menjalankan pengintaian internal di jaringan yang disusupi.
APT menggunakan Gemini
Google mengatakan APT dari Iran, China, Korea Utara, dan Rusia, semuanya telah bereksperimen dengan Gemini, mengeksplorasi potensi alat dalam membantu mereka menemukan kesenjangan keamanan, menghindari deteksi, dan merencanakan aktivitas pasca-kompromi mereka. Ini dirangkum sebagai berikut:
Aktor ancaman Iran adalah pengguna Gemini terberat, memanfaatkannya untuk berbagai kegiatan, termasuk pengintaian terhadap organisasi pertahanan dan pakar internasional, penelitian tentang kerentanan yang diketahui publik, pengembangan kampanye phishing, dan pembuatan konten untuk operasi pengaruh.
Mereka juga menggunakan Gemini untuk terjemahan dan penjelasan teknis terkait keamanan siber dan teknologi militer, termasuk kendaraan udara tak berawak (UAV) dan sistem pertahanan rudal.
Pelaku ancaman yang didukung Tiongkok terutama memanfaatkan Gemini untuk pengintaian terhadap organisasi militer dan pemerintah A.S., penelitian kerentanan, pembuatan skrip untuk gerakan lateral dan eskalasi hak istimewa, dan aktivitas pasca-kompromi seperti menghindari deteksi dan mempertahankan kegigihan dalam jaringan. Mereka juga mengeksplorasi cara untuk mengakses Microsoft Exchange menggunakan hash kata sandi dan merekayasa balik alat keamanan seperti Carbon Black EDR.
Korea APT menggunakan Gemini untuk mendukung beberapa fase siklus hidup serangan, termasuk meneliti penyedia hosting gratis, melakukan pengintaian pada organisasi target, dan membantu pengembangan malware dan teknik penghindaran. Sebagian besar aktivitas mereka berfokus pada skema pekerja TI rahasia Korea Utara, menggunakan Gemini untuk menyusun lamaran pekerjaan, surat lamaran, dan proposal untuk mengamankan pekerjaan di perusahaan Barat dengan identitas palsu.
Pelaku ancaman Rusia memiliki keterlibatan minimal dengan Gemini, sebagian besar penggunaan difokuskan pada bantuan skrip, terjemahan, dan pembuatan muatan. Aktivitas mereka termasuk menulis ulang malware yang tersedia untuk umum ke dalam bahasa pemrograman yang berbeda, menambahkan fungsionalitas enkripsi ke kode berbahaya, dan memahami bagaimana bagian tertentu dari malware publik berfungsi.
Penggunaan terbatas dapat menunjukkan bahwa aktor Rusia lebih memilih model AI yang dikembangkan di Rusia atau menghindari platform AI Barat karena alasan keamanan operasional.
Google juga menyebutkan telah mengamati kasus-kasus di mana pelaku ancaman mencoba menggunakan jailbreak publik terhadap Gemini atau mengulangi perintah mereka untuk melewati langkah-langkah keamanan platform. Upaya ini dilaporkan tidak berhasil.
OpenAI, pencipta chatbot AI populer ChatGPT, membuat pengungkapan serupa pada Oktober 2024, sehingga laporan terbaru Google datang sebagai konfirmasi penyalahgunaan alat AI generatif dalam skala besar oleh pelaku ancaman dari semua tingkatan.
Sementara jailbreak dan bypass keamanan menjadi perhatian dalam produk AI arus utama, pasar AI secara bertahap dipenuhi dengan model AI yang tidak memiliki perlindungan yang tepat untuk mencegah penyalahgunaan. Sayangnya, beberapa dari mereka dengan batasan yang sepele untuk dilewati juga menikmati peningkatan popularitas.
Perusahaan intelijen keamanan siber KELA baru-baru ini menerbitkan rincian tentang langkah-langkah keamanan yang longgar untuk DeepSeek R1 dan Qwen 2.5 Alibaba, yang rentan terhadap serangan injeksi cepat yang dapat merampingkan penggunaan berbahaya.
Para peneliti Unit 42 juga menunjukkan teknik jailbreak yang efektif terhadap DeepSeek R1 dan V3, menunjukkan bahwa model tersebut mudah disalahgunakan untuk tujuan jahat.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
