‫ khozestan_salamat بلاگ

مایکروسافت Storm-2139 را افشا کرد، یک شبکه جرایم سایبری که از هوش مصنوعی Azure از طریق LLMjacking بهره برداری می کند.

مایکروسافت اقدام قانونی علیه یک شبکه مجرم سایبری به نام Storm-2139 انجام داده است که مسئول سوء استفاده از آسیب‌پذیری‌ها در سرویس‌های هوش مصنوعی Azure است. این شرکت علناً چهار نفر را در این عملیات غیرقانونی شناسایی و محکوم کرد.

طبق گزارش رسمی مایکروسافت که به طور انحصاری با Hackread.com به اشتراک گذاشته شده است، این افراد از نام‌های مستعار آنلاین مختلف برای اجرای طرحی به نام LLMjacking استفاده می‌کنند. این عمل ربودن مدل های زبان بزرگ (LLM) با سرقت کلیدهای API (رابط برنامه نویسی برنامه) است که به عنوان اعتبار دیجیتال برای دسترسی به خدمات هوش مصنوعی عمل می کند. در صورت به دست آوردن، کلیدهای API می توانند به مجرمان سایبری اجازه دهند تا LLM ها را برای تولید محتوای مضر دستکاری کنند.

فعالیت اصلی Storm-2139 شامل استفاده از اعتبارنامه‌های مشتری سرقت شده، به دست آمده از منابع عمومی، برای دسترسی غیرمجاز به پلتفرم‌های هوش مصنوعی، اصلاح قابلیت‌های این سرویس‌ها، دور زدن اقدامات ایمنی داخلی، و سپس فروش مجدد دسترسی به سایر عوامل مخرب بود. آنها دستورالعمل های دقیقی را در مورد چگونگی تولید محتوای غیرقانونی، از جمله تصاویر صمیمی غیرمجاز و مطالب صریح جنسی، که اغلب افراد مشهور را هدف قرار می دهند، ارائه کردند.

واحد جرایم دیجیتال مایکروسافت (DCU) در دسامبر 2024 اقدامات قانونی را آغاز کرد و در ابتدا ده فرد ناشناس را هدف قرار داد. از طریق تحقیقات بعدی، آنها اعضای کلیدی Storm-2139 را شناسایی کردند. این شبکه از طریق یک مدل ساختاریافته عمل می‌کرد که سازندگان ابزارهای مخرب را توسعه می‌دادند، ارائه‌دهندگان آن‌ها را اصلاح و توزیع می‌کردند و کاربران محتوای توهین‌آمیز را تولید می‌کردند.

Storm-2139 به سه دسته اصلی سازماندهی شده است: سازندگان، ارائه دهندگان و کاربران. سازندگان ابزارهای غیرقانونی را توسعه دادند که امکان سوء استفاده از خدمات تولید شده توسط هوش مصنوعی را فراهم می کرد. سپس ارائه دهندگان این ابزارها را اغلب با سطوح مختلف خدمات و پرداخت برای کاربران نهایی اصلاح و عرضه کردند. در نهایت، کاربران از این ابزارها برای تولید محتوای مصنوعی متخلف استفاده کردند.» پست وبلاگ مایکروسافت نشان داد.
اقدامات قانونی انجام شده توسط مایکروسافت، از جمله توقیف یک وب سایت کلیدی، منجر به اختلال قابل توجهی در شبکه شد. اعضای گروه با هشدار، درگیر شدن در چت آنلاین، تلاش برای شناسایی سایر اعضا، و حتی متوسل شدن به وکیل حقوقی مایکروسافت واکنش نشان دادند و کارآمدی استراتژی مایکروسافت در خنثی کردن عملیات جنایی را برجسته کردند.

مایکروسافت یک استراتژی حقوقی چند وجهی را به کار گرفت و دعوی حقوقی مدنی را برای مختل کردن عملیات شبکه و پیگیری ارجاع جنایی به سازمان های مجری قانون آغاز کرد. هدف این رویکرد هم توقف تهدید فوری و هم ایجاد یک عامل بازدارنده در برابر سوء استفاده از هوش مصنوعی در آینده بود.

این شرکت همچنین در حال رسیدگی به موضوع سوء استفاده از هوش مصنوعی برای تولید محتوای مضر، اجرای نرده‌های محافظ سخت‌گیرانه و توسعه روش‌های جدید برای محافظت از کاربران است. همچنین از نوسازی قوانین کیفری برای تجهیز مجریان قانون به ابزارهای لازم برای مبارزه با سوء استفاده از هوش مصنوعی دفاع می کند.

کارشناسان امنیتی بر اهمیت حفاظت از اعتبار قوی تر و نظارت مستمر در جلوگیری از چنین حملاتی تاکید کرده اند. رام کارمل، بنیانگذار و مدیر عامل آپونو به هکرید گفت که شرکت‌هایی که از هوش مصنوعی و ابزارهای ابری برای رشد استفاده می کنند، باید دسترسی به داده های حساس را محدود کنند تا خطرات امنیتی را کاهش دهند.

از آنجایی که سازمان‌ها ابزارهای هوش مصنوعی را برای پیشبرد رشد به کار می‌گیرند، سطح حمله خود را با برنامه‌هایی که داده‌های حساس را در خود نگه می‌دارند نیز گسترش می‌دهند. برای استفاده ایمن از هوش مصنوعی و ابر، دسترسی به سیستم‌های حساس باید بر اساس نیاز به استفاده محدود شود و فرصت‌ها را برای عوامل مخرب به حداقل برساند.

کمپین 360XSS از Krpano XSS برای ربودن نتایج جستجو و توزیع تبلیغات هرزنامه در بیش از 350 سایت، از جمله دولت، دانشگاه‌ها و رسانه‌های خبری سوء استفاده می‌کند.
 

یک کمپین گسترده که از یک آسیب‌پذیری در چارچوب تور مجازی Krpano سوء استفاده می‌کند توسط محقق امنیت سایبری اولگ زایتسف کشف شده است. این حمله که "360XSS" نامیده شد، شامل دستکاری موتورهای جستجو و توزیع انبوه تبلیغات بود.

 Krpano یک ابزار نرم افزاری پرکاربرد است که امکان ایجاد تجربیات 360 درجه همهجانبه را فراهم می کند و به کاربران امکان می دهد تصاویر و ویدیوهای پانوراما را در یک محیط مجازی کاوش کنند.

تحقیقات Zaytsev که با Hackread.com به اشتراک گذاشته شده است، نشان داد که این حمله از یک نقص اسکریپت نویسی متقابل (XSS) منعکس شده در کتابخانه Krpano VR که به عنوان CVE-2020-24901 ردیابی شده است، استفاده می کند. این آسیب‌پذیری در یک تنظیمات پیکربندی در چارچوب Krpano (passQueryParameter) قرار داشت که به‌طور پیش‌فرض، اجازه می‌داد تا پارامترهای پرس و جو مستقیماً به پیکربندی چارچوب ارسال شوند.

این مهاجمان را قادر می سازد تا XML دلخواه را تزریق کنند که منجر به XSS منعکس شده می شود. تنظیمات پیش‌فرض این نقص را فعال کرده و منجر به بهره‌برداری گسترده تا زمان انتشار وصله‌ها شد. متأسفانه، در بسیاری از وب‌سایت‌ها، از جمله سایت توسعه‌دهنده فریم‌ورک، بدون اصلاح باقی ماند.

کشف این کمپین با یک نتیجه جستجوی غیرمنتظره برای محتوای بزرگسالان شروع شد که در دامنه یک دانشگاه معتبر ظاهر شد. تحقیقات بیشتر نشان داد که سایت از چارچوب Krpano برای تورهای مجازی استفاده می‌کند و یک پارامتر خاص در URL برای تزریق کد مخرب مورد سوء استفاده قرار می‌گیرد. این کد کاربران را به سمت تبلیغات اسپم هدایت می‌کرد که نشان‌دهنده یک حمله پیچیده فراتر از تخریب ساده وب‌سایت است.

مقیاس این کمپین با صدها وب سایت، از جمله پورتال های دولتی، مؤسسات آموزشی، رسانه های خبری و شرکت های بزرگ، قابل توجه بود. مهاجمان از آسیب‌پذیری XSS برای تزریق اسکریپت‌های مخربی استفاده کردند که نتایج موتورهای جستجو را دستکاری می‌کردند و تبلیغات هرزنامه‌ها را به بالای فهرست‌های جستجو هدایت می‌کردند. این تکنیک که به عنوان مسمومیت سئو شناخته می‌شود، به آن‌ها این امکان را می‌دهد تا از اعتبار دامنه‌های در معرض خطر برای افزایش دیده شدن تبلیغات خود استفاده کنند.

این کمپین تأثیر گسترده ای داشت و بیش از 350 وب سایت را در بخش های مختلف به خطر انداخت. این شامل پورتال‌های حساس دولتی و سایت‌های دولتی ایالتی، دانشگاه‌های بزرگ آمریکا، هتل‌های زنجیره‌ای برجسته، رسانه‌های خبری معتبر مانند CNN و Geo.tv، نمایندگی‌های خودرو و شرکت‌های Fortune 500 بود. تمرکز مهاجمان بر توزیع تبلیغات، به جای حمله مستقیم به داده های کاربران، رویکردی حساب شده را احتمالاً توسط یک گروه عرب پیشنهاد می کند.

زایتسف در پست وبلاگ خود خاطرنشان کرد: "افراد پشت این کمپین یک راز باقی مانده اند، اما از آنچه من دیده ام، بسیاری از سرنخ ها حاکی از آن است که این کمپین توسط یک گروه عرب اداره شده است - بر اساس تبلیغات، الگوها و خرده نان های تصادفی که در طول تحقیقات خود پیدا کردم."

او همچنین خاطرنشان می‌کند که تلاش‌ها برای گزارش آسیب‌پذیری به سازمان‌های آسیب‌دیده چالش‌برانگیز بود و بسیاری از آنها فاقد برنامه‌های رسمی افشا بودند. با این حال، برخی از سازمان‌ها پاسخ مثبت دادند و توسعه‌دهندگان Krpano این مشکل را با یک وصله در نسخه بعدی حل کردند. به سازمان‌هایی که از چارچوب Krpano استفاده می‌کنند توصیه می‌شود که به آخرین نسخه به‌روزرسانی شده و تنظیمات پیکربندی آسیب‌پذیر را غیرفعال کنند.

Eran Elshech، Field CTO در Seraphic Security، تأکید می‌کند که مهاجمان از بدافزار به سوء استفاده از آسیب‌پذیری‌های مرورگر و چارچوب‌های وب روی آورده‌اند. کمپین 360XSS نشان می دهد که چگونه به راحتی از یک نقص شناخته شده XSS برای به خطر انداختن سایت های قابل اعتماد، دستکاری نتایج جستجو و ربودن ویژگی های وب برای تبلیغات هرزنامه استفاده شده است.

او هشدار می دهد که مقیاس پذیری و مخفی بودن چنین حملاتی آنها را بسیار مؤثر می کند، زیرا مهاجمان با کمترین تلاش به سایت های پربازدید نفوذ می کنند و بدون دسترسی مستقیم به دستگاه های کاربر به مخاطبان زیادی دسترسی پیدا می کنند.