تستخدم مجموعة APT36، المرتبطة بباكستان، تقنيات الذكاء الاصطناعي لإنتاج برمجيات خبيثة بكميات كبيرة، مما يمثل تهديدًا متزايدًا للأمن السيبراني.
بدأت مجموعة التهديدات المرتبطة بباكستان APT36 باستخدام أدوات البرمجة المدعومة بالذكاء الاصطناعي لاستهداف الضحايا ببرمجيات خبيثة تُنتج بكميات كبيرة، والتي يبدو أنها مصممة لإغراق الدفاعات ليس من خلال الجودة التقنية ولكن من خلال الحجم الهائل.
أطلق Bitdefender على هذه التكتيك اسم “إنكار التوزيع للكشف”، بعد أن رصدت المجموعة تستخدم برمجيات خبيثة مشفرة في هجمات حديثة تستهدف كيانات مرتبطة بالحكومة الهندية وسفاراتها في عدة دول، وأهداف أخرى في جنوب آسيا.
كيف يعمل إنكار التوزيع للكشف
وجد بائع الأمن أن “البرمجيات المشفرة” كانت ذات جودة منخفضة وعانت من أخطاء عديدة. على سبيل المثال، في إحدى الحالات، كان الأداة المصممة لسرقة بيانات المتصفح تحتوي على عنصر نائب بدلاً من عنوان خادم التحكم (C2)، مما يعني أنه لم يكن بإمكانها أبداً استخراج أي بيانات. في حالة أخرى، كانت وظيفة الإبلاغ عن حالة الباب الخلفي تعيد تعيين الطابع الزمني الذي كانت تهدف إلى تتبعه في كل مرة تعمل فيها، مما يجعل المضيف يبدو دائماً متصلاً بالإنترنت، بغض النظر عن حالته الحقيقية.
“رأينا أنماطاً مشابهة عبر بقية الأسطول، حيث بدأت مكونات البرمجيات الخبيثة الأخرى في الانهيار تحت وزنها الخاص بمجرد أن وصلت المنطق إلى مستوى معتدل من التعقيد”، كما قال الباحث في Bitdefender رادو تودوريكا في منشور مدونة هذا الأسبوع. هذه هي الأخطاء التي تحدث عندما يكون الكود “صحيحاً من الناحية النحوية ولكنه غير مكتمل من الناحية المنطقية”، كما أضاف.
ومع ذلك، فإنه من الخطأ أن تقلل المؤسسات من المخاطر التي يمكن أن تقدمها مثل هذه البرمجيات الخبيثة، إذا كانت مكتوبة بلغات برمجة نادرة وتستخدم خدمات شرعية لإخفاء اتصالات C2، حذر تودوريكا.
على سبيل المثال، تستخدم APT36، المعروفة أيضاً باسم Transparent Tribe، الترميز المشفر – وهو ممارسة استخدام العبارات الطبيعية المحادثة لتطوير كود باستخدام أدوات الذكاء الاصطناعي – لإنشاء برمجيات خبيثة بلغات برمجة غامضة مثل Nim وZig وCrystal. سابقاً، كان تطوير البرمجيات الخبيثة بعدة لغات يتطلب وقتاً ومهارة كبيرة. ولكن، كما قال تودوريكا، جعل الذكاء الاصطناعي من الممكن حتى للجهات الفاعلة السيئة ذات المهارات التقنية الأساسية إنتاج برمجيات خبيثة بلغات مختلفة بجهد ضئيل.
خطأ في التقليل من أهمية البرمجيات المشفرة
تعتبر هذه مشكلة، لأن معظم محركات الكشف عن البرمجيات الخبيثة مضبوطة للكشف عن البرمجيات المكتوبة بلغات شائعة مثل C++ أو C#. عندما تصل ثنائية خبيثة بلغة لا تتعرض لها تلك المحركات كثيراً، فإنها “تعيد بشكل أساسي تعيين خط الأساس للكشف”، كما كتب تودوريكا.
تستفيد APT36 أيضاً من الذكاء الاصطناعي لاستغلال منصات سحابية شرعية لأغراض C2. وجدت Bitdefender أن مجموعة البرمجيات المشفرة الخاصة بالممثل التهديدي تستخدم Slack وDiscord وGoogle Sheets وSupabase كقنوات لإصدار الأوامر إلى الآلات المخترقة واستقبال البيانات المسروقة. لاحظ تودوريكا أن هذا الجمع يسمح حتى للجهات الفاعلة ذات الأدوات المتوسطة بالتغلب على الدفاعات القياسية وتحقيق نجاح تشغيلي كبير.
زرع متعددة ومتزامنة
في الهجمات التي قامت Bitdefender بتحليلها، أصابت APT36 الضحايا ببرمجيات خبيثة متعددة ومتزامنة، تم تطوير كل منها بلغة مختلفة وتستخدم بروتوكول اتصال مختلف. الهدف هو ضمان أن يحتفظ الممثل التهديدي بالوصول إلى الشبكة حتى إذا تم تحييد قناة هجوم واحدة، كما أشار الباحث. قدرت Bitdefender أن المجموعة التهديدية تنتج متغيرات جديدة من البرمجيات الخبيثة يومياً باستخدام الترميز المشفر.
“الخطر الحقيقي على المنظمات هو التصنيع المتوسط”، كما يقول مارتن زوغيك، مدير الحلول التقنية في Bitdefender. يسمح الذكاء الاصطناعي للمهاجمين بتوليد هجمات بحجم يمكن أن يكون تحدياً للمنظمات للتعامل معها إذا لم يلتفتوا إلى أسس الأمن الأساسية، كما يقول.
“بينما دعت الصناعة إلى الدفاع المتعدد الطبقات والأمن متعدد الطبقات لسنوات، لا تزال العديد من البيئات تعاني من مشكلات أساسية مثل الشبكات المسطحة، والمستخدمين ذوي الامتيازات الزائدة، ونقص المراقبة النشطة من MDR أو SOC”، كما يخبر زوغيك Dark Reading. “لا تعتمد البرمجيات المشفرة على العبقرية التقنية. بل تعتمد على استغلال الشعور الزائف بالأمان في المنظمات التي تمكنت ببساطة من الطيران تحت الرادار حتى الآن.”
قيمت Bitdefender تحول APT36 إلى نموذج الترميز المشفر كنوع من “التراجع الفني للمجموعة التهديدية نفسها”. ولكن الاتجاه الأوسع يمكن أن يصبح مقلقاً مع تطور النموذج وتحسن أدوات الذكاء الاصطناعي الأساسية.
“إنها فكرة شائعة أن كل مجموعة APT هي مجموعة من المحاربين السيبرانيين النخبة”، كما يقول زوغيك. العديد منها هي إدارات حكومية بيروقراطية تضم مشغلين مبتدئين اعتمدوا تاريخياً على تعديل المشاريع مفتوحة المصدر أو أطر الهجوم الموجودة بدلاً من تطوير البرمجيات الخبيثة من الصفر. “بالنسبة لهؤلاء الفاعلين، يعد الترميز المشفر وسيلة لتوسيع تكتيكاتهم ذات المستوى المنخفض الحالية.”
ترتبط APT36 منذ فترة طويلة بهجمات على كيانات في قطاعات الفضاء والدفاع والحكومة في الهند. تشمل محفظة هجماتها قائمة متطورة باستمرار من البرمجيات الخبيثة لاستهداف بيئات Windows وLinux وAndroid. تُعرف المجموعة باستخدامها الواسع للثنائيات المعتمدة على البقاء والخدمات السحابية الشرعية لإخفاء نشاط الهجوم.
مع استمرار تطور تقنيات الذكاء الاصطناعي، يجب على المؤسسات أن تكون على دراية بالتهديدات الجديدة التي قد تنشأ من استخدام هذه الأدوات من قبل الجهات الفاعلة السيئة.
