דיפלומטים אירופים אומרים ל-N12 כי ייתכן שהצעד הנרחב נגד השר בן גביר ייבלם באופן זמני, בבירות אירופה בוחנים אם כעת זה הזמן הנכון לאשר מהלך נגד בן גביר "שיעניק לו מתנה פוליטית"
גם אתם נפלתם? האתרים המזויפים שמתחזים לג'מיני וקלוד
קמפיין התחזות חדש מנצל את הפופולריות של כלי קידוד מבוססי בינה מלאכותית כדי להפיץ נוזקות ולגנוב מידע רגיש
ג'מיני צילום: ג'מיני גוגל
גל ההייפ סביב כלי הבינה המלאכותית הפך בתקופה האחרונה גם להזדמנות עבור עברייני סייבר, שמנצלים את האמון של משתמשים ומפתחים במותגים מוכרים כדי להחדיר נוזקות למחשבים ארגוניים.
מחקר חדש שפורסם באתר אנשים ומחשבים חושף מסע תקיפה זדוני שבמסגרתו הוקמו אתרים מזויפים המתחזים לכלי הקידוד גוגל ג'מיני וקלוד קוד של אנת'רופיק, במטרה לגרום לקורבנות להוריד קבצים זדוניים במסווה של התקנה לגיטימית.
הדיווח הראשוני על הקמפיין הגיע מחוקר אבטחה עצמאי המוכר ברשתות החברתיות בשם גונקסה, ולאחר מכן נבחן לעומק על ידי חוקרי אקליקטיק איי קיו.
לפי ממצאי החוקרים, שחקן האיום החל לפרוס דומיינים זדוניים כבר בתחילת מרץ, תוך התאמה גיאוגרפית לקורבנות מארה"ב ובריטניה. במסגרת הפעילות הוקמו כתובות אינטרנט שנראו אמינות, ובהן סיומות המכוונות לקהלים מקומיים, כדי להגביר את הסיכוי שמשתמשים יטעו לחשוב שמדובר באתרי הורדה רשמיים.
אחת השיטות המרכזיות שבהן השתמשו התוקפים הייתה הרעלת תוצאות חיפוש. באמצעות קידום מלאכותי של האתרים המזויפים, הם ניסו לגרום להם להופיע לצד תוצאות לגיטימיות, וכך להפנות מפתחים ותשתיות ארגוניות לעמודי התקנה שנשלטו בפועל על ידי התוקפים. האתרים חיקו דפי התקנה של כלי בינה מלאכותית, אך מאחורי החזות המוכרת הושתלה נוזקה שנועדה לגנוב מידע ממחשבי חלונות.
לאחר ההדבקה, הנוזקה אספה מידע רגיש ממגוון רחב של יישומים והעבירה אותו לשרת פיקוד ושליטה בתקשורת מוצפנת. החוקרים מצאו כי התוקפים התמקדו במיוחד בתחנות עבודה של מפתחים ובמשתמשים ארגוניים, תוך ניסיון לחלץ פרטי התחברות, עוגיות, נתוני מילוי אוטומטי והיסטוריית טפסים מדפדפנים כמו כרום ופיירפוקס.
הפגיעה לא נעצרה בדפדפנים בלבד. הנוזקה כוונה גם לפלטפורמות תקשורת ושיתוף פעולה נפוצות בארגונים, ובהן סלאק, טימז, דיסקורד וטלגרם בגרסאות שולחן העבודה. לפי החוקרים, באמצעות גישה לפלטפורמות הללו יכולים התוקפים להגיע לערוצים פנימיים, קבצים משותפים, תקשורת עם לקוחות ואינטגרציות המחוברות לסביבת העבודה של הקורבן.
ממצאי המחקר מצביעים גם על איסוף מידע מכלי גישה מרחוק, קובצי הגדרות של אופן וי פי אן, ארנקי מטבעות קריפטוגרפיים, מערכות אחסון בענן, קבצי משתמשים ומטא דאטה של המערכת. החוקרים ציינו כי אופי התשתית הזדונית מאפשר לתוקפים לבצע מרחוק פעולות שונות על מכשיר הקורבן, מעבר לגניבת המידע הראשונית.
בדיקת שרשראות התקיפה של ג'מיני ושל קלוד העלתה דמיון משמעותי בין שני הקמפיינים, באופן שמרמז כי אותו גורם איום עומד מאחורי שתי הפעילויות. החוקרים לא ייחסו את המתקפה למדינה מסוימת, וציינו כי מדובר בעברייני סייבר בעלי מניע כספי.
לדברי החוקרים, קמפיינים שבהם עברייני סייבר מתחזים לפלטפורמות בינה מלאכותית צפויים להימשך, בעיקר בשל השימוש ההולך וגובר בכלי פיתוח מבוססי בינה מלאכותית בארגונים. לדבריהם, המתקפות הללו יוצרות סיכון ישיר לשרשראות אספקה, משום שהן מכוונות לכלי פיתוח תוכנה, לעוזרי קידוד ולמערכות שבהן משתמשים מפתחים בסביבת העבודה היומיומית שלהם.
