TFL Vsebine / TFLGlasnik

1. UVOD

Kot vsako leto za Konferenco revizorjev informacijskih sistemov predstavljamo ključne točke najodmevnejših javnih poročil o kibernetskem kriminalu v letu 2023 in prvi polovici 2024, zlasti trende, ki so najpomembnejši za slovensko gospodarsko okolje in javne organizacije. V tokratnem pregledu najzanimivejših aktualnih trendov kibernetskega kriminala so povzeti najzanimivejši, ki se pojavljajo v naslednjih poročilih:

• Poročilo o kibernetski varnosti za leto 2023, Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT;
• Poročilo o vdorih v podatke, angl. Data Breach Investigations Report, komunikacijskega podjetja Verizon;
• Letno poročilo, Year in Review, proizvajalca komunikacijske in varnostne strojne in programske opreme Cisco in varnostnega analitika Thalos;
• Ocena groženj organiziranega spletnega kriminala 2023, Internet Organised Crime Threat Assessment, agencije Europol;
• Letno poročilo o globalnih grožnjah za 2024, CrowdStrike Global Threat Report 2024, varnostnega podjetja CrowdStrike.

2. SPLOŠNO O KIBERNETSKEM KRIMINALU V LETU 2023 IN PRVI POLOVICI 2024

V letu 2023 in v prvi polovici 2024 je sektor kibernetskega kriminala postal visokospecializirana in organizirana industrija, v kateri so kriminalne aktivnosti, usmerjene v končne žrtve, tesno povezane z vrsto specializiranih podpornih storitev (Europol, 2023, str. 6). Podporne storitve in tehnologije, ki omogočajo trenutni obseg kibernetskega kriminala, so na kratko predstavljene v tretjem poglavju.

Leto 2023 in prvo polovico 2024 je zaznamoval izjemen napredek v orodjih umetne inteligence, kar je pomembno vplivalo na trende kibernetskega kriminala. Orodja za ustvarjanje glasov in posnetkov so spletnim kriminalcem omogočila povsem nov spekter prevar, ki so trenutno usmerjene predvsem na fizične osebe, vendar se postopoma uveljavljajo tudi kot različica nekdanje poslovne prevare prek ogrožanja poslovne elektronske pošte (angl. Business Email Compromise, kratica BEC). Kibernetski kriminalci šokantne ali personalizirane globoke ponaredke (angl. deepfake) uporabljajo kot učinkovit vstopni vektor v končne uporabniške naprave, zlasti v mobilne telefone. Uporabo orodij umetne inteligence v spletnem kriminalu povzemamo v četrtem poglavju.

Končni cilj kibernetskih kriminalcev je seveda dobiček, pri čemer velik vir dobička predstavljajo napadi z izsiljevalskim programjem (angl. Ransomware) in kraja podatkov zaradi izsiljevanja ali za uporabo v drugih kriminalnih aktivnostih. Obseg tovrstnih kriminalnih aktivnosti predstavljamo v petem poglavju.

Ne nazadnje pomemben trend v kibernetskem kriminalu predstavljajo razni zelo škodljivi vdori v čedalje bolj razširjena hibridna, oblačna in multioblačna okolja. Trend predstavljamo v šestem poglavju.

3. PODPORNE STORITVE KIBERNETSKEGA KRIMINALA

Sektor kibernetskega kriminala ima številne visokospecializirane akterje z različnimi tehničnimi znanji in vlogami. Kibernetski kriminalci, ki distribuirajo izsiljevalsko programje ali vdirajo v informacijska okolja in kradejo podatke, so se v letih 2023 in prvi polovici 2024 v velikem delu svojih aktivnosti zanašali na podporne storitve, ki jih je mogoče kupiti na različnih forumih temnega omrežja. Nekatere ključne podporne storitve kibernetskega kriminala so (Europol, 2023, str. 6):

• storitve začetnega dostopa (angl. Initial Access) in programje, ki želi namestiti škodljivo kode (angl. Dropper), ki kriminalcem omogočijo začetni dostop do informacijskih okolij organizacij, na primer s krajo občutljivih dostopnih podatkov (angl. credentials theft), ribarjenjem (angl. phishing) ali z uporabo ranljivosti ničelnega dne (angl. Zero-day vulnerability);
• kripterji (angl. Crypters)¹ in protiprotivirusni programi (angl. Counter antivirus)², ki pomagajo škodljivo kodo zasnovati tako, da jo je pri prenosu v informacijska okolja organizacij lažje prikriti;
• prilagojena navidezna zasebna omrežja, ki sama po sebi seveda niso povezana s kriminalnimi aktivnostmi, so pa vsaj nekatera izrecno prilagojena potrebam kibernetskih kriminalcev;
• specializirani ponudniki spletnih storitev (angl. Internet Service

Providers, krat. ISP), ki so strukturirani tako, da lahko kar najbolj prikrivajo identiteto svojih strank pred organi pregona, in ki ponujajo storitve gostovanja na strežnikih po vsem svetu, predvsem v državah, ki niso povezane v mednarodna omrežja za pregon kaznivih dejanj.

Podjetje CrowdStrike, ki spremlja in ovira aktivnosti 232 spletnih kriminalnih združb, poroča, da so na temnem spletu v letu 2023 zaznali 20-odstotno povečanje števila oglasov za storitve začetnega dostopa (CrowdStrike, 2024, str. 12). Za pridobitev dostopa na podlagi ukradenih dostopnih podatkov kriminalci pogosto uporabijo posebna orodja za množično nalaganje škodljive kode v informacijska okolja (angl. Commodity Loaders), ki jih je mogoče kupiti na temnem spletu (Cisco Talos Intelligence Group, 2023, str. 33). Takšna organizacija dela omogoča tudi manj izkušenim napadalcem izvajanje uspešnih kibernetskih napadov.

Mednarodne organizacije za boj proti organiziranemu kriminalu so poleg pregona samih spletnih kriminalcev pogosto usmerjene prav na njihove ponudnike podpornih storitev, saj ima lahko zaprtje takega ponudnika storitev posledice za celoten kriminalni ekosistem. Primer zaprtja ponudnika podpornih storitev spletnega kriminala predstavljamo v primeru 1.

Primer 1: Organi pregona zaprejo VPNLab – Operacija Overlord

Januarja 2022 so organi pregona z usklajeno akcijo, v kateri so sodelovale Kanada, Češka, Francija, Nemčija, Madžarska, Latvija, Nizozemska, Ukrajina, Združeno kraljestvo in Združene države Amerike, s podporo Europola in Eurojusta razkrinkali in zaprli podporno storitev VPNLab. To storitev so spletni kriminalci uporabljali za podporo distribuciji izsiljevalske škodljive kode, prikrivanje nadzora nad robotskimi (bot) omrežji, transakcije na temnem spletu in za številne druge kriminalne namene. Strežniki VPNLab, ki so jih zasegli organi pregona, so bili v različnih državah EU-ja in nekaterih tretjih državah.

Vir: Europol, 2023, str. 7.

4. UPORABA ORODIJ UMETNE INTELIGENCE V KIBERNETSKEM KRIMINALU

Kriminalne združbe so v svoje aktivnosti v letih 2023 in prvi polovici 2024 vpeljale številna orodja umetne inteligence. Zanašajo se tako na javno dostopne pogovorne rešitve velikih jezikovnih modelov kot tudi na specializirane modele, dostopne le na temnem spletu. Ti modeli temeljijo na odprtokodnih jezikovnih modelih in so posebej prilagojeni za kriminalne aktivnosti.

4.1. Javna pogovorna orodja velikih jezikovnih modelov

Veliki jezikovni modeli z javno dostopnimi pogovornimi orodji, kot sta ChatGPT in Perplexity AI, imajo praviloma vgrajene omejitve, ki preprečujejo, da bi podajali nasvete o nezakonitih aktivnostih, na primer za odkrivanje ranljivosti programske opreme ali za pisanje škodljive kode. Ker pa so pogovorni modeli v svojem jedru predvsem na verjetnostnem računu temelječi generatorji besedil, je nemogoče predvideti vse oblike zahtev, s katerimi bi uporabniki lahko prišli do sicer varovanih informacij. Nekatere bolj znane metode za upravljanje pogovornih orodij javnih velikih jezikovnih modelov (angl. jailbreak) vključujejo:

• prevzem i. persone,³ za katero ne veljajo modelne omejitve;
• pretvarjanje, da je model šele v razvojnem načinu in torej nima omejitev;
• spremembo pozivnika (angl. prompt)⁴ za nedovoljeno aktivnost, tako da se modelu zdi, da gre za nalogo prevoda ali učno nalogo;
• postavljanje zahtev nedovoljene aktivnosti v starinskih jezikih, na primer starodavni galščini ali latinščini (Kelley, 2024).

Na temnem spletu je na prodaj na stotine pozivnikov in podrobnih navodil, s katerimi je mogoče javno dostopne velike jezikovne modele prepričati v nedovoljene aktivnosti (Lyons, 2024). Dve vrsti nedovoljenih aktivnosti, ki jih omogočajo že javni veliki jezikovni modeli, predstavljamo v nadaljevanju.

4.1.1. Uporaba pogovornih orodij velikih jezikovnih modelov v ribarjenju

Pogovorna orodja so idealna za ustvarjanje prejemnikom prilagojenih sporočil za množične akcije ribarjenja, saj omogočajo avtomatizirano ustvarjanje velikega števila zelo prepričljivih sporočil. Tako ustvarjena sporočila posnemajo vsebine, slog pisanja, ton in pogosto uporabljene besede pravih avtorjev izvornih sporočil. Včasih je bilo sporočila, namenjena ribarjenju, pogosto mogoče razmeroma enostavno prepoznati, ker so vsebovala razne slovnične in pravopisne napake. Sporočila, ki jih kriminalci ustvarijo z velikimi jezikovnimi modeli, so s tega vidika veliko bolj dovršena, zlasti v angleškem jeziku (Sorka, 2023).

4.1.2. Uporaba pogovornih orodij velikih jezikovnih modelov za kreiranje škodljive kode in izkoriščanje ranljivosti programske opreme

Pogovorna orodja naj bi načeloma zavrnila neposredne zahteve za kreiranje škodljive kode in izkoriščanje ranljivosti programske opreme (Slika 1).

Včasih je ta orodja kljub vsemu mogoče prepričati, da pomagajo pri izkoriščanju ranljivosti, na primer tako, da jim vprašanje zastavimo nekoliko drugače (slike 2, 3 in 4).

4.2. Nezakonita pogovorna orodja

Na temnem spletu obstaja vrsta nezakonitih pogovornih orodij, ki temeljijo na odprtokodnih velikih jezikovnih modelih in so se posebej usposabljala za izvajanje nezakonitih aktivnosti. Med spletnimi kriminalci sta razširjeni orodji WormGPT in FraudGPT,ki omogočata ustvarjanje zlonamernih sporočil, pisanje škodljive kode in iskanje varnostnih ranljivosti (Poireault, 2023). Poleg na temnem spletu »javno« objavljenih orodij je pričakovati, da spletne kriminalne združbe na podlagi odprtokodnih velikih jezikovnih modelov razvijajo in uporabljajo tudi lastna orodja, s katerimi že razvijajo in bodo tudi v bližnji prihodnosti razvijale nove vrste spletnih napadov in prevar.

Slika 1: Pozivnik za pomoč pri izkoriščanju ranljivosti programske opreme v ChatGPT 4

Slika 2: Pozivnik za pojasnilo o izkoriščanju ranljivosti programske opreme z orodjem Phyton v ChatGPT4

Slika 3: Opis napada z izkoriščanjem ranljivosti programske opreme v orodju ChatGPT 4

4.3. Uporaba multimodalnih orodij umetne inteligence za napredne poslovne prevare

Multimodalni modeli umetne inteligence so orodja, ki lahko obdelujejo in razumejo več vrst vhodnih podatkov. Poleg besedila lahko razumejo na primer slike, zvok in video. Te informacije lahko tudi združijo, kar podpira izvajanje naprednih nalog, na primer generacijo slik ali zvokov na podlagi besedilnega poziva. Multimodalni modeli uporabljajo različne tehnike globokega učenja, zlasti različne tipe nevronskih mrež, in so osnova številnih novih orodij za ustvarjanje in komuniciranje. Z vidika kibernetskega kriminala je tvegana zlasti uporaba na multimodalnih modelih temelječih orodij za ponarejanje človeških glasov, ki so v uporabi kot oblika biometrične prepoznave, čedalje pogosteje pa se pojavljajo tudi v realnem času predvajani globoki ponaredki (primer 2).

Primer 2: Goljufija z globokim

Slika 4: Koda v orodju Phyton za izkoriščanje programske ranljivosti v ChatGPT 4

Ponaredkom videokonference Februarja 2024 je goljufija s tehnologijo globokega ponaredka mednarodni gospodarski skupini povzročila približno 25 milijonov dolarjev izgube v Hongkongu. Goljufi so uporabili z orodji umetne inteligence ustvarjen posnetek za izvedbo videokonference s finančnim direktorjem podjetja, ki naj bi bil v Londonu. Enega izmed hongkonških zaposlenih so tako prepričali v neodobreno nakazilo. Zaposleni je sprva celo sumil, da bi lahko šlo za poskus ribarjenja, saj mu je lažni direktor izrecno naročil, da se mora transakcija izvršiti na skrivaj, kar v podjetju ni običajno. Ker pa so na »videokonferenci« poleg finančnega direktorja sodelovali še drugi člani poslovodstva, je njihova navodila navsezadnje izvršil.

Vir: Magramo, 2024.

Celoten članek je dostopen za naročnike!