Door de staat gesteunde hackersgroepen misbruiken de AI-assistent Gemini van Google voor onder meer onderzoek naar potentiële aanvalsdoelen.
Op de hoogte blijven van al het nieuws omtrent phishing en cyberaanvallen?
Schrijf je in voor de gratis wekelijkse nieuwsbrief van c’t magazine:
Efficiënter werken voor hackers
Volgens Google maken meerdere door de staat gesteunde hackergroepen gebruik van Gemini om hun productiviteit te verhogen en potentiële doelwitten te onderzoeken. Volgens een bericht van Bleeping Computer heeft de Google Threat Intelligence Group (GTIG) vastgesteld dat hackers Gemini voornamelijk inzetten om efficiënter te werken, en niet om nieuwe AI-gestuurde cyberaanvallen te ontwikkelen die traditionele verdedigingsmechanismen kunnen omzeilen.
Meest voorkomende toepassingen Gemini van hackers
Volgens Google waren vooral advanced persistent threat-groepen (ook wel bekend als APT) uit Iran en China bijzonder actief. De meest voorkomende toepassingen van Gemini door deze hackers omvatten:
- Ondersteuning bij programmeertaken, zoals het ontwikkelen van tools en scripts
- Onderzoek naar bekende beveiligingslekken
- Vertalingen en uitleg over technologieën
- Verzamelen van informatie over doelorganisaties
- Zoeken naar methoden om detectie te omzeilen, rechten uit te breiden of geïnfiltreerde netwerken verder te verkennen
Gebruik van Gemini in verschillende aanvalsfases
De hackers zetten het gebruik van AI in diverse fasen van hun aanvalscyclus in, waarbij de focus per land verschilde:
- Iraanse hackers gebruikten Gemini vooral voor verkenning, phishingcampagnes en beïnvloedingsoperaties.
- Chinese groepen richtten zich op Amerikaanse militaire en overheidsinstanties, onderzoek naar kwetsbaarheden, laterale bewegingen binnen netwerken en het uitbreiden van toegangsrechten na een inbraak.
- Noord-Koreaanse APT’s gebruikten Gemini ter ondersteuning van verschillende fasen van de aanvalscyclus, waaronder verkenning, malware-ontwikkeling en verduisteringstechnieken. Eén van de aandachtspunten was het geheime IT-werkprogramma van Noord-Korea.
- Russische hackers maakten slechts beperkt gebruik van Gemini, voornamelijk voor script-ondersteuning, vertalingen en het genereren van payloads. Mogelijk geven zij de voorkeur aan in Rusland ontwikkelde AI-modellen of mijden ze westerse platforms uit operationele veiligheidsoverwegingen.
Pogingen om de veiligheidsmaatregelen te omzeilen
Google merkte ook pogingen op om publieke jailbreaks op Gemini toe te passen of prompts aan te passen om de beveiligingsmaatregelen te omzeilen. Tot nu toe zijn deze pogingen onsuccesvol gebleken.
Een vergelijkbare waarschuwing kwam in oktober 2024 van OpenAI, de ontwikkelaar van de populaire chatbot ChatGPT. Naarmate generatieve AI-systemen steeds breder worden toegepast, neemt ook het risico op misbruik toe, vooral bij modellen met onvoldoende beveiliging.
Zo hebben beveiligingsonderzoekers al aangetoond dat bij systemen zoals DeepSeek R1 en Qwen 2.5 van AliBaba, de beperkingen relatief eenvoudig te omzeilen zijn.
Tot slot
Al met al onderstreept het toenemende gebruik van AI door hackers de noodzaak van robuuste beveiligingsmaatregelen en continue monitoring om misbruik te beperken en de impact van digitale dreigingen te minimaliseren.
Op de hoogte blijven van al het nieuws omtrent cyberaanvallen?
Schrijf je in voor de gratis wekelijkse nieuwsbrief van c’t magazine: