Munculnya Alat peretasan AI memilikinya menimbulkan ketakutan akan masa depan yang dekat di mana siapa pun dapat menggunakan alat otomatis untuk menggali kerentanan yang dapat dieksploitasi perangkat lunak apa punseperti semacam negara adidaya intrusi digital. Namun, saat ini, AI tampaknya memainkan peran yang lebih biasa, meski masih mengkhawatirkan, dalam perangkat peretas: AI membantu peretas biasa-biasa saja untuk naik level dan melakukan kampanye malware yang luas dan efektif. Hal ini mencakup sekelompok penjahat dunia maya Korea Utara yang relatif tidak terampil yang ditemukan menggunakan AI untuk melakukan hampir setiap bagian dari operasi yang meretas ribuan korban untuk mencuri mata uang kripto mereka.
Pada hari Rabu, perusahaan keamanan siber Expel terungkap apa yang digambarkannya sebagai operasi kejahatan dunia maya yang disponsori negara Korea Utara yang memasang malware pencuri kredensial di lebih dari 2,000 komputer, yang secara khusus menargetkan mesin pengembang yang mengerjakan peluncuran mata uang kripto skala kecil, pembuatan NFT, dan proyek Web3. Dengan menggunakan alat AI dari perusahaan yang berbasis di AS, termasuk OpenAI, Cursor, dan Anima, kelompok peretas—yang disebut Expel sebagai HexagonalRodent—”kode getaran” Hampir setiap bagian dari kampanye intrusinya, mulai dari menulis malware hingga membangun situs web palsu perusahaan yang digunakan dalam skema phishingnya. Peretasan yang didukung AI memungkinkan kelompok tersebut mencuri mata uang kripto senilai $12 juta dari korbannya dalam tiga bulan.
Hal yang paling mencolok dari kampanye peretasan HexagonalRodent bukanlah kecanggihannya, kata Marcus Hutchins, peneliti keamanan yang menemukan kelompok tersebut, melainkan bagaimana alat AI memungkinkan kelompok yang tampaknya tidak canggih melakukan pencurian yang menguntungkan demi kepentingan negara Korea Utara.
“Operator-operator ini tidak memiliki keterampilan untuk menulis kode. Mereka tidak memiliki keterampilan untuk menyiapkan infrastruktur. AI sebenarnya memungkinkan mereka melakukan hal-hal yang tidak dapat mereka lakukan jika tidak melakukannya,” kata Hutchins, yang menjadi terkenal di komunitas keamanan siber setelahnya. menonaktifkan worm ransomware WannaCry dibuat oleh peretas Korea Utara.
Kode Tertulis AI dan Bertebaran Emoji
Operasi peretasan HexagonalRodent berfokus pada menipu pengembang kripto tawaran pekerjaan palsu di perusahaan teknologi, bahkan membuat situs web lengkap untuk perusahaan palsu yang merekrut korban, sering kali dibuat dengan alat desain web AI. Akhirnya, korban diberitahu bahwa mereka harus mengunduh dan menyelesaikan tugas pengkodean sebagai tes—yang mana peretas telah menginfeksi malware yang menyusup ke mesin mereka dan mencuri kredensial, termasuk yang dalam beberapa kasus dapat memberikan akses ke kunci yang mengendalikan dompet kripto mereka.
Bagian-bagian dari operasi peretasan tersebut tampaknya telah diasah dengan baik dan efektif, namun para peretas juga cukup kikuk hingga membiarkan sebagian infrastruktur mereka tidak aman, membocorkan perintah yang mereka gunakan untuk menulis malware dengan alat yang mencakup ChatGPT dan Cursor OpenAI. Mereka juga mengungkap database tempat mereka melacak dompet korban, yang memungkinkan Expel memperkirakan jumlah total cryptocurrency yang mungkin telah dicuri oleh peretas. (Meskipun total isi dompet tersebut mencapai $12 juta, Hutchins mengatakan perusahaan tidak dapat memastikan untuk setiap target apakah seluruh jumlah telah dikuras dari dompet atau apakah peretas masih perlu mendapatkan kunci ke dompet korban dalam beberapa kasus, mengingat beberapa mungkin telah dilindungi dengan token keamanan perangkat keras.)
Hutchins juga menganalisis sampel malware para peretas dan menemukan petunjuk lain bahwa malware tersebut sebagian besar—mungkin seluruhnya—dibuat dengan AI. Itu sepenuhnya dilengkapi dengan komentar-komentar—dalam bahasa Inggris—yang bukan merupakan kebiasaan pengkodean khas orang Korea Utara, meskipun faktanya beberapa server perintah-dan-kontrol untuk malware mengaitkan mereka dengan operasi peretasan Korea Utara yang diketahui. Kode malware juga dipenuhi dengan emoji, yang menurut Hutchins, dalam beberapa kasus, dapat berfungsi sebagai petunjuk bahwa perangkat lunak ditulis dengan model bahasa yang besar, mengingat pemrogram yang menulis di keyboard PC dan bukan di ponsel jarang meluangkan waktu untuk memasukkan emoji. “Ini adalah tanda kode yang ditulis oleh AI yang terdokumentasi dengan baik,” kata Hutchins.
Kode yang ditulis oleh AI yang dianalisis oleh Hutchins seharusnya dapat dideteksi dengan alat keamanan “deteksi dan respons titik akhir” yang umum digunakan di sebagian besar perusahaan dan lembaga pemerintah, kata Hutchins, mengingat kode tersebut mengikuti pola perilaku standar malware. Namun Hutchins mengatakan keputusan HexagonalRodent untuk fokus pada korban individu dalam kampanye peretasannya berarti banyak yang belum memasang alat keamanan tersebut. “Mereka menemukan celah di mana Anda benar-benar bisa lolos dari malware yang sepenuhnya dihasilkan oleh AI,” kata Hutchins.
Hutchins berpendapat bahwa kampanye HexagonalRodent menunjukkan bagaimana AI dapat menjadi alat yang sangat berguna bagi Korea Utara, yang dapat dengan mudah merekrut pekerja TI yang tidak terampil untuk bergabung dengan kelompok peretasnya—atau lebih umum lagi, untuk menyusup ke perusahaan teknologi meskipun menyamar sebagai warga negara lain—namun jumlah peretas yang cakap jauh lebih sedikit, mengingat rata-rata masyarakat Korea Utara tidak memiliki akses terhadap internet atau bahkan komputer. “Mereka memiliki ratusan orang yang dikirim melintasi perbatasan untuk bekerja di bidang operasional TI, dan hanya sedikit dari mereka yang benar-benar mengetahui apa yang mereka lakukan,” kata Hutchins. “Tetapi kemudian mereka dapat menggunakan AI generatif untuk meningkatkan kemampuannya dan benar-benar menjalankan kampanye peretasan yang cukup sukses.”
Faktanya, alih-alih mengurangi jumlah orang yang terlibat dalam kampanye peretasan melalui otomatisasi, Hutchins mengatakan dia dapat mengamati operasi Korea Utara yang semakin besar seiring berjalannya waktu. Expel memperkirakan sebanyak 31 peretas individu terlibat dalam HexagonalRodent. “Mereka terus menambah lebih banyak operator,” kata Hutchins. “Karena mereka hanya dapat memberikan mereka akses ke model AI, dan mereka sekarang dapat melakukan hal-hal yang sebelumnya mereka perlukan untuk didukung oleh tim pengembangan.”
Kerajaan Pertapa yang Merangkul AI
Aktivitas HexagonalRodent yang diamati oleh Hutchins hanyalah sebagian kecil dari aktivitas peretasan dan kejahatan siber besar-besaran di Korea Utara, yang dapat melibatkan pencurian mata uang kripto dalam skala besar, ransomware, spionase, penipuan, dan penyusupan ke organisasi-organisasi Barat melalui skema pekerja TI mereka. Peneliti keamanan punya disamakan Operasi dunia maya Korea Utara berfungsi seperti “sindikat kejahatan yang disetujui negara,” yang pada akhirnya berfungsi untuk mendanai persenjataan nuklir negara tersebut, membangun infrastruktur negara, dan menghindari sanksi internasional.
Semakin banyak, dan mungkin tidak mengherankan, program-program yang didukung negara ini telah menambahkan AI generatif ke dalam alur kerja peretasan dan penipuan untuk meningkatkan efisiensinya secara keseluruhan. Di Korea Utara, upaya-upaya ini dilaporkan didukung oleh pembentukan Pusat Penelitian 227, sebuah organisasi yang berada di bawah Biro Umum Pengintaian militer yang sebagian akan fokus pada penelitian. mengembangkan alat peretasan yang berfokus pada AI. Namun sehari-hari, operator siber Korea Utara berulang kali ketahuan menggunakan alat AI komersial yang sudah tersedia.
“Korea Utara menggunakan AI sebagai pengganda kekuatan, dan mereka membantu dalam setiap aspek—membuat resume, membangun situs web, membangun eksploitasi, menguji kerentanan—dan mereka melakukannya dengan kecepatan dan skala besar,” kata Michael “Barni” Barnhart, peneliti di perusahaan keamanan DTEX, yang telah dilacak operasi peretasan negara selama bertahun-tahun. Operator siber Korea Utara telah bereksperimen dan menggunakan AI secara luas selama beberapa tahun, kata Barnhart. “AI membantu mereka bergerak lebih cepat sehingga mereka dapat memanfaatkan eksploitasi dan bahkan membantu membangun eksploitasi tersebut,” jelasnya. “Anda mendapatkan potongan-potongan kecil teka-teki dari masing-masing kelompok, dan kemudian itu membentuk gambaran keseluruhan tentang bagaimana mereka menggunakan AI.”
Misalnya, anggota program pekerja TI di Korea Utara telah menggunakan asisten AI dan deepfake yang mengubah wajah untuk menjawab pertanyaan dan mengubah penampilan mereka selama wawancara kerja yang curang. Peneliti keamanan di Microsoft punya tutul mencurigai operasi Korea Utara menggunakan AI untuk membuat ID palsu, meneliti alat kerja, memoles bahasa Inggris mereka untuk rekayasa sosial, dan meneliti kerentanan keamanan yang diketahui. Beberapa aktor di Korea Utara juga telah menggunakan teknologi ini untuk menciptakan infrastruktur web dalam skala besar, sehingga membuat operasi mereka lebih sulit dideteksi, menurut penelitian Microsoft.
OpenAI dan Anthropic juga telah melihat operator siber Korea Utara menggunakan platform mereka selama 12 bulan terakhir. Pada bulan Februari tahun lalu, OpenAI dikatakan mereka telah melarang akun-akun yang dicurigai berasal dari Korea Utara yang terdeteksi menggunakan ChatGPT pada berbagai tahap skema penipuan pekerja TI, termasuk selama wawancara untuk menghasilkan jawaban atas pertanyaan teknis dan untuk menulis kode setelah seseorang mendapatkan pekerjaan di sebuah perusahaan.
Sedangkan Antropik dikatakan dalam laporan intelijen ancamannya pada bulan Agustus bahwa mereka melihat para pekerja TI Korea Utara “tampaknya tidak mampu melakukan tugas-tugas teknis dasar atau komunikasi profesional tanpa bantuan AI.” Perusahaan tersebut juga mengatakan telah mendeteksi peretas Korea Utara yang bermaksud menggunakan Claude untuk “meningkatkan” beberapa jenis malware yang sama yang ditemukan Expel, dan untuk mengembangkan tes keterampilan yang mengandung malware. Namun Anthropic menulis dalam laporannya sendiri bahwa mereka mendeteksi penggunaan jahat Claude dan melarang para peretas menggunakan alatnya.
OpenAI memberi tahu WIRED bahwa alat-alatnya tidak memberikan “kemampuan baru” apa pun kepada para peretas, namun mengakui bahwa “nilai” alat-alatnya bagi para peretas “tampaknya adalah kecepatan dan skala.” OpenAI tidak mengatakan apakah mereka telah memblokir akun apa pun sehubungan dengan temuan Expel. Cursor memberi tahu WIRED bahwa mereka telah memblokir peretas HexagonalRodent untuk menggunakan alatnya, menambahkan bahwa perusahaan tersebut “menyelidiki lebih lanjut dan [is] dalam komunikasi dengan penyedia model lain mengenai insiden tersebut.”
Anima, salah satu perusahaan desain web AI yang alatnya digunakan dalam kampanye peretasan, mengatakan kepada WIRED bahwa mereka bekerja sama dengan Expel untuk mengidentifikasi dan memblokir peretas agar tidak menggunakan perangkat lunaknya. “Ini adalah penyalahgunaan agen pengkodean Anima oleh pelaku kejahatan, dan kami sedang menanganinya secara langsung,” tulis CEO perusahaan, Avishay Cohen.
Hutchins berpendapat bahwa penggunaan praktis AI untuk memungkinkan operasi peretasan inilah yang harus menjadi fokus industri keamanan siber, bukan gagasan tentang penemuan kerentanan AI di masa depan.
“Kami berpikir bahwa kami perlu membangun pertahanan untuk Skynet hipotetis yang akan menyebar ke seluruh jaringan kami,” kata Hutchins. “Sementara itu, ada ancaman negara yang mampu meningkatkan operasi mereka menggunakan AI tanpa melakukan sesuatu yang baru. Ada aktivitas ancaman nyata yang terjadi akibat AI. Namun hal ini bukanlah hal yang membuat orang membuang-buang waktu.”
