חוקרי אבטחה משקיעים בדוחות מודיעין, ההאקרים מנצלים אותם לטובתם
האקרים מנצלים דוחות אבטחה מפורטים כדי לייצר קוד זדוני ולשדרג את ארסנל המתקפות שלהם
תמונה: Dreamstime
בשנים האחרונות הפכו דוחות מודיעין סייבר לכלי חיוני בניהול הסיכונים הארגוניים, עם תפקיד כפול: מצד אחד, הם מזהים איומים מתהווים ומספקים התרעה מוקדמת למנהלי אבטחת מידע. מצד שני, הם מציעים ניתוחים טכניים מעמיקים של נוזקות, תשתיות תקיפה ודפוסי פעולה של קבוצות תקיפה. אבל אותה שקיפות טכנית שנועדה להגן, דווקא היא עלולה דווקא לחשוף את הארגונים לפגיעה.
מחקר חדש של חברת הסייבר טרנד מיקרו חשף גילוי מפתיע – האקרים מנצלים את דוחות המודיעין כדי לשדרג את יכולותיהם ולהוסיף כלים נוספים לארסנל שלהם. ואם זה לא מספיק, המחקר טוען כי באמצעות שימוש ב-AI, ההאקרים יכולים לעשות זאת בלי לכתוב אף שורת קוד בעצמם.
הפתרון? וייב קודינג
וייב קודינג, שהפכה לפופולרית במיוחד בחודשים האחרונים, היא דרך פיתוח בה מתאפשר לפתח באופן מהיר אפליקציות או מוצרים שונים, בלי לדעת יותר מדי קוד ובלי תהליכים מסורתיים. המונח נטבע על ידי אחד ממייסדי OpenAI, אנדריי קרפאתי, שתיאר ברשת החברתית X כיצד הוא מתכנת בלי לכתוב קוד בכלל – פשוט מסביר לכלי ה-AI מה הוא רוצה, והבינה המלאכותית עושה את כתיבת הקוד עבורו.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מה הקשר למחקר של טרנד מיקרו? האקרים משתמשים בכלי AI ובשיטות וייב קודינג כדי להפוך בלוגים טכניים לקוד זדוני באופן חלקי. המחקר מראה כי על ידי הנדסה לאחור של נוזקות קיימות הם מצליחים לשחזר שיטות תקיפה של קבוצות אחרות. רוברט מקארדל, מנהל תחום מחקרי האיומים המתקדמים בחברה, אמר בראיון ל-ITPro כי ""מה שחזר היה די טוב. זה לא היה מוצר מוגמר, אבל בהחלט קיצר את הדרך". מה שמדאיג בעיקר זה שהשיטה הזו מאפשרת לייעל ולזרז את פעולות, אבל גם לטשטש עקבות
הבעיה, כך הוא טוען, היא קיצור הדרך שמאפשר להפוך את פשיעת הסייבר ליעילה יותר. והגרוע ביותר הוא שאם בעבר עולמות הסייבר היו מוגבלים למי שידעו לקודד ברמה גבוהה כדי לעקוף הגנות, היום כל אחד יכול להיכנס לעולם הפשיעה המקוונת בזכות ה-AI.
היזהרו מחיקויים
לפי המחקר, הפיכת דוחות לכלי נשק לא מתבטאת רק בקיצור דרך לפיתוח קוד, אלא גם ביצירת "קמפיינים מחקים": תקיפות שמתחזות לקבוצות מוכרות אחרות. פרסומים של חברות אבטחה כוללים לרוב ניתוחים מעמיקים של מתקפות, חולשות קיימות, טכניקות התחמקות ומנגנוני הפצה, במטרה לאפשר תגובה מהירה ושיתוף ידע בקהילת הסייבר. אבל אותה שקיפות – חיונית ככל שתהיה – הופכת לחרב פיפיות כשהיא נופלת לידיים הלא נכונות.
התוקפים מנצלים את המידע שנחשף, לומדים את השיטות של המגינים ואפילו משדרגים את הפעילות שלהם בהתאם. דליפות כמו Conti Leaks כבר חשפו איך קבוצות תקיפה מנתחות את מה שכותבים עליהן ולפעמים עושות מזה יופי של שדרוג.
השורה התחתונה: הדמוקרטיזציה של פיתוח נוזקות, בזכות שילוב של ידע פתוח ו-AI גמיש, יוצרת אתגר חדש לא רק בזיהוי מתקפות, אלא גם בייחוס שלהן. כי כשכל אחד יכול לחקות TTPs של קבוצת תקיפה מתוחכמת, קשה לדעת מי באמת עומד מאחורי התקיפה הבאה.
למי שחושש שדוחות האיומים יפסיקו להתפרסם, אין באמת סיבה לדאוג. בטרנד מיקרו מדגישים שאין סיבה להפסיק לפרסם דוחות מודיעין אלא פשוט לחשוב פעמיים על רמת הפירוט. במקום לפרט כל שורת קוד, כדאי להתמקד בהקשרים, מטרות התקיפה והשלכותיה. כי בעידן שבו גם תוקפים עובדים עם AI, האחריות על התוכן שבצד המגן חשובה מתמיד.
