Die Google Threat Intelligence Group (GTIG) hat einen neuen Bericht veröffentlicht und beschreibt darin aktuelle Methoden von Angreifern. Demnach experimentieren diese nicht mehr nur mit künstlicher Intelligenz (KI), sondern setzen die Technologie im großen Maßstab ein.
KI entdeckt Zero-Day-Exploit
So hat die GTIG etwa einen Zero-Day-Exploit identifiziert, mithilfe dessen die Zwei-Faktor-Authentifizierung umgangen werden kann. Dieser wurde wahrscheinlich mithilfe eines KI-Modells entdeckt und für Angriffe genutzt. Es sei der erste bekannte Beweis dafür, dass Angreifer KI erfolgreich zur Entwicklung einer Zero-Day-Schwachstelle eingesetzt haben. Google hat jedoch bereits mehrere andere Versuche beobachtet und geht davon aus, dass es parallel viele Angriffsoperationen mit verschiedenen Modellen gibt, die noch nicht entdeckt wurden.
Die beteiligten Bedrohungsakteure haben in der Vergangenheit bereits größere Angriffe durchgeführt. Google vermutet, dass der erfolgreiche Einsatz durch Fehler bei der Umsetzung des Zero-Day-Exploits verhindert wurde. Die Schwachstelle habe man dem Entwickler gemeldet, der daraufhin einen Patch veröffentlicht hat. Wie Google weiter mitteilt, wies der Exploit zahlreiche verräterische Merkmale von KI auf. Der Softwarekonzern geht jedoch nicht davon aus, dass er mit Mythos entwickelt wurde. SAP-Verantwortliche wissen, dass sie handeln müssen – aber nicht, wie sie fundiert entscheiden. ‣ weiterlesen
SAP-Transformation mit Augenmaß: Sicherheit für die richtige Entscheidung
Staatliche Bedrohungsakteure setzen auf KI
Im Bericht wirft die GTIG zudem einen Blick auf staatlich geförderte Skalierung von KI-unterstützten Angriffen. Insbesondere werden in diesem Zusammenhang China und Nordkorea genannt. Demnach nutzen Cyberkriminelle und Hacker aus diesen Ländern künstliche Intelligenz, um Sicherheitslücken zu erforschen und Exploits zu entwickeln. Beschrieben wird etwa der nordkoreanische Bedrohungsakteur APT45, der KI einsetzt, um Tausende von Exploits zu validieren und sein Arsenal erheblich auszubauen. In China nutzen Akteure wie UNC2814 Experten-Personas, um mit KI nach Schwachstellen in Hardware wie Routern zu suchen.
Autonome Malware und Agenten
Eine weitere Erkenntnis der GTIG ist, dass Bedrohungsakteure agentenbasierte KI-Tools in ihre Aktivitäten integrieren, wodurch sie ihre Operationen erheblich skalieren können. So navigiert etwa die neue Android-Backdoor Promptpsy mithilfe von KI selbstständig durch die Benutzeroberfläche des Opfergeräts und blockiert Deinstallationsversuche. Das KI-Framework OpenClaw wird von Hackern genutzt, um ihre Angriffsfähigkeiten in kontrollierten Umgebungen zu testen und zu verfeinern. Google beobachtete zudem einen Akteur mit Verbindungen zur Volksrepublik China dabei, wie er mithilfe von agentenbasierten Tools autonom und dauerhaft ein japanisches Technologieunternehmen auf Schwachstellen untersuchte.
Russische Informationsoperationen
In dem Bericht beschreibt Google außerdem, dass russische Akteure KI nutzen, um Malware zu verfeinern, die in der Ukraine eingesetzt wird. Zudem verwendet die prorussische Kampagne „Operation Overload” KI-gestütztes Stimmenklonen, um echte Journalisten zu imitieren und gefälschte Audioaufnahmen in legitime Nachrichtenbeiträge einzufügen. Ziel ist die Verbreitung von Desinformationen in den USA, der Ukraine und Frankreich.
Sicherheitsvorkehrungen umgehen
Akteure mit Verbindungen zu Russland setzen Google zufolge zudem KI-generierten Ködercode ein, um Schadsoftware vor Sicherheitsscannern zu verbergen. Zudem attackieren Angreifer wie TeamPCP Zulieferteile für KI-Software wie LiteLLM, um sensible Cloud-Informationen und AWS-Schlüssel aus Entwicklungsumgebungen zu stehlen.
John Hultquist, Chefanalyst der Google Threat Intelligence Group, kommentiert den Bericht: „Es herrscht die Fehlannahme, dass der Wettlauf um KI-Sicherheitslücken unmittelbar bevorsteht. Tatsächlich hat er bereits begonnen. Für jede Zero-Day-Schwachstelle, die wir auf KI zurückführen können, gibt es wahrscheinlich viele weitere. Bedrohungsakteure nutzen KI, um Geschwindigkeit, Umfang und Raffinesse ihrer Angriffe zu steigern. Sie können damit ihre Operationen testen, Ziele dauerhaft ins Visier nehmen, bessere Malware entwickeln und viele weitere Verbesserungen vornehmen. Staatliche Akteure nutzen diese Technologie bereits, doch auch kriminell motivierte Hacker sollten nicht unterschätzt werden, denn sie sind bekannt für breit angelegte und aggressive Angriffe.“
