Hackers in hyperdrive: de wapenwedloop met AI
Door Martijn Hoogesteger 16 mei 2024
Elk groot softwarebedrijf is tegenwoordig druk bezig met het testen van software en het uitbrengen van patches. Ze rapporteren netjes wat voor kwetsbaarheden de patches oplossen, en zorgen voor de juiste informatie zodat IT-teams weten welke stappen ze moeten ondernemen. Maar, wat voor effect zou dit in de toekomst kunnen hebben? Laten we eens kijken naar een fictief futuristisch scenario bij een VPNsoftwareleverancier. Deze publiceert in de toekomst een reguliere patch waar een buffer overflow kwetsbaarheid gepatched wordt (een mogelijkheid om willekeurige commando’s uit te voeren).
Automatische tools zien deze patch door regelmatig de websites van dit soort leveranciers te scrapen. Met behulp van language models wordt de tekst geïnterpreteerd. Een AI besluit dat een exploit maken interessant kan zijn en de applicatie wordt automatisch gedownload. Afhankelijk van waar de kwetsbaarheid zit en wat de patch doet, genereert een AI een code die misbruik maakt van de kwetsbaarheid en toegang geeft tot het systeem. Door dit een aantal keer te doen en verschillende variaties te maken kan de AI de meest effectieve versie selecteren. De proof of concept is af, en dat in slechts enkele minuten.
Ondertussen is door hetzelfde systeem op het internet gescand waar deze VPN geïnstalleerd is. Er zijn duizenden targets over de wereld. De exploit wordt automatisch afgevuurd op alle targets. Dit is voor de cybercrimineel maar een paar keer klikken, technische kennis is niet meer nodig. Deze modus operandi kennen we op dit moment al en hebben we gezien met bijvoorbeeld Citrix Netscaler of Pulse Connect Secure kwetsbaarheden. Ondersteund door AI gaat het proces nog vele malen sneller. Dit geeft kwetsbare organisaties significant minder tijd om zich voor te bereiden op een aanval.
Door deze aanval hebben criminelen een eerste stap in de netwerken van honderden organisaties gezet. Deze toegang wordt automatisch op het darkweb verhandeld, waar een andere groep de toegang opkoopt en hun eigen gespecialiseerde tools inzet. Een AI getraind op het gebruik van verschillende hacking-tools kijkt naar het systeem en de omgeving. Met de verzamelde informatie selecteert een AI de beste manier om rechten te verhogen en meer toegang te krijgen. Ook dit gebeurt razendsnel en parallel. Binnen enkele dagen hebben de criminelen vergaande toegang bij honderden organisaties. De criminelen krijgen automatisch te zien welke bedrijven de AI heeft gehackt, hoeveel omzet deze bedrijven hebben, in welke sector ze zitten en hoe ze het beste afgeperst kunnen worden. De crimineel kan met een druk op de knop afpersing starten per e-mail, telefoon of zelfs video. Sterk gepersonaliseerd, in de juiste taal en gebruikmakend van de informatie die de AI gevonden heeft in het netwerk.
Gelukkig zijn we nog niet in deze dystopische toekomst beland. Cybercriminelen hebben de afgelopen jaren enorme hoeveelheden geld buit weten te maken. Geld dat ze vervolgens investeren in deze tools en technieken. Gelukkig is de aandacht van de wereld ook gevestigd op deze criminele groeperingen, en weten we hun operaties steeds beter te dwarsbomen. We moeten dit juist nu keihard aanpakken, en onszelf heel scherp houden, voordat we in een exponentiele groei van criminaliteit komen door het gebruik van AI.
Hopelijk zet dit fictieve scenario je aan het denken! Het moment om door te pakken is nu.
Martijn Hoogesteger
Martijn is Head of Cyber bij S-RM en is bereikbaar via m.hoogesteger@s-rminform.com.
Deze column verscheen in IB2-2024.