Kurucuları arasında Elon Musk’ın da yer aldığı OpenAI, Kasım 2022’nin sonunda Büyük Dil Modeli (LLM) için yeni arayüz olan ChatGPT’yi yayımladı. Bu girişimin ardından yapay zekaya ve olası kullanımlarına yönelik muazzam bir ilgi meydana geldi. Ancak bununla birlikte, ChatGPT’nin siber tehdit ortamına da katkısı olduğu düşünülüyor, zira kod oluşturmanın daha az yetenekli tehdit aktörlerinin zahmetsizce siber saldırılar başlatmasına yardımcı olabileceği ortaya çıktı.
ChatGPT’nin ikna edici bir kimlik avı e-postası oluşturmaktan, İngilizce komutları kabul edebilen bir ters kabuk çalıştırmaya kadar tam bir bulaşma akışını nasıl başarıyla gerçekleştirdiğini anlatan Check Point Research’ün (CPR), bu kez bunun sadece varsayımsal bir tehdit mi olduğu yoksa OpenAI teknolojilerini kötü niyetli amaçlar için kullanan tehdit aktörlerinin hali hazırda olup olmadığını sorgulayan bir yazı yayınladı.
CPR’ın bir takım büyük yeraltı bilgisayar korsanlığı topluluğu üzerinde yaptığı analiz, siber suçluların kötü niyetli araçlar geliştirmek için hali hazırda OpenAI’yi kullandıklarını gösteriyor. Bazı vakalar OpenAI kullanan birçok siber suçlunun hiçbir geliştirme becerisine sahip olmadığını da açıkça gösteriyor. Yapılan analiz daha sofistike tehdit aktörlerinin yapay zeka tabanlı araçları kötü amaçlı kullanma yöntemlerini geliştirmelerinin an meselesi olduğuna da işaret ediyor.
INFOSTEALER’IN OLUŞTURULMASI YA DA KÖTÜ AMAÇLI YAZILIMIN FAYDALARI
29 Aralık 2022’de, popüler bir yeraltı bilgisayar korsanlığı forumunda “ChatGPT – Kötü Amaçlı Yazılımın Faydaları” adlı bir başlık atılmış. Başlığı atan kullanıcı, araştırmalarda ve yaygın kötü amaçlı yazılımlarla ilgili yazılarda açıklanan kötü amaçlı yazılım türlerini ve tekniklerini yeniden oluşturmak için ChatGPT ile deneyler yaptığını belirtiyor. Örnek olarak, yaygın dosya türlerini arayan, bunları Temp klasörünün içindeki rastgele bir klasöre kopyalayan, ZIP’leyen (sıkıştıran) ve kodlanmış bir FTP sunucusuna yükleyen Python tabanlı bir hırsızın kodunu paylaşıyor.
“CHATGPT KULLANARAK NASIL BİLGİ HIRSIZI OLUŞTURULUYOR?”
Komut dosyası üzerinde yapılan analiz, siber suçlunun iddialarını doğruluyor. Gerçekten de sistemde 12 yaygın dosya türünü (MS Office belgeleri, PDF’ler ve resimler gibi) arayan temel bir hırsızlık aracı söz konusu. İlgilenilen herhangi bir dosyanın bulunması halinde, siber suçlu kötü amaçlı yazılım dosyalarını geçici bir dizine kopyalıyor, sıkıştırıyor ve web üzerinden gönderiyor. Tehdit aktörünün dosyaları şifreleme veya güvenli bir şekilde gönderme zahmetine girmediğini belirtmek gerekiyor. Bu da dosyaların 3. tarafların da eline geçebileceğini gösteriyor.
Aynı tehdit aktörünün ChatGPT kullanarak oluşturduğu ikinci örnek, basit bir Java parçacığı. Çok yaygın bir SSH ve telnet istemcisi olan PuTTY’yi indiriyor ve Powershell kullanarak sistemde gizlice çalıştırıyor. Bu komut dosyası elbette yaygın kötü amaçlı yazılım aileleri de dahil olmak üzere herhangi bir programı indirmek ve çalıştırmak için değiştirilebiliyor.
FİDYE YAZILIMINA DÖNÜŞEBİLİR
21 Aralık 2022’de USDoD adlı bir tehdit aktörü, oluşturduğu ilk komut dosyası olduğunu vurguladığı bir Python komut dosyası yayınladı. Başka bir siber suçlu, kodun tarzının OpenAI koduna benzediği yorumunu yaptığında USDoD, OpenAI’nin kendisine “betiği güzel bir kapsamla bitirmesi için yardım eli” uzattığını doğruluyor.
CPR’nin betik üzerinde yaptığı analiz, bunun kriptografik işlemler gerçekleştiren bir Python betiği olduğunu doğruluyor. Betik ilk bakışta zararsız görünse de çeşitli farklı işlevler uyguluyor:
Betiğin ilk kısmı, dosyaları imzalarken kullanılan bir kriptografik anahtar (özellikle eliptik eğri kriptografisi ve ed25519 eğrisini kullanıyor) üretiyor.
Betiğin ikinci kısmı, sistemdeki dosyaları Blowfish ve Twofish algoritmalarını aynı anda hibrit modda kullanarak şifrelemek için sabit kodlanmış bir parola kullanan işlevler içeriyor. Bu fonksiyonlar kullanıcının belirli bir dizindeki tüm dosyaları ya da bir dosya listesini şifrelemesini sağlıyor. Betik ayrıca RSA anahtarlarını kullanıyor, PEM formatında saklanan sertifikaları, MAC imzalamayı ve karmaları karşılaştırmak için blake2 karma işlevini kullanıyor.
Yukarıda bahsedilen tüm kodlar elbette iyi niyetli kullanılabilir. Ancak, bu komut dosyası herhangi bir kullanıcı etkileşimi olmadan birinin makinesini tamamen şifrelemek için de kolayca değiştirilebiliyor. Örneğin, komut dosyası ve sözdizimi sorunları giderilirse kodu fidye yazılımına dönüştürme potansiyeli bulunuyor.
Bir geliştirici olmadığı ve sınırlı teknik becerilere sahip olduğu anlaşılan UsDoD buna rağmen yeraltı topluluğunun çok aktif ve saygın bir üyesi. UsDoD, güvenliği ihlal edilmiş şirketlere ve çalınmış veri tabanlarına erişim satmayı da içeren çeşitli yasadışı faaliyetlerde bulunmakta. USDoD’nin yakın zamanda paylaştığı önemli bir çalıntı veri tabanının sızdırılmış InfraGard veri tabanı olduğu iddia ediliyor.
CHATGPT’NİN DOLANDIRICILIK FAALİYETİ İÇİN KULLANILMASI
ChatGPT’nin dolandırıcılık faaliyetlerinde kullanılmasına ilişkin bir başka örnek de 2022 yılbaşı gecesi yayınlanmış ve farklı türde bir siber suç faaliyetini ortaya koymuş. İlk iki örnek daha çok ChatGPT’nin kötü amaçlı yazılım odaklı kullanımına odaklanırken, bu örnek “Dark Web Marketplaces komut dosyaları oluşturmak için ChatGPT’yi kötüye kullanma” başlıklı bir tartışmayı gösteriyor. Bu başlık altında siber suçlu, ChatGPT kullanarak bir Dark Web pazaryeri oluşturmanın ne kadar kolay olduğuna işaret ediyor.
Pazar yerinin yeraltı yasadışı ekonomisindeki ana rolü, çalıntı hesaplar veya ödeme kartları, kötü amaçlı yazılımlar ve hatta uyuşturucu ve mühimmat gibi yasadışı veya çalıntı malların otomatik ticareti için tüm ödemelerin kripto para birimleriyle yapıldığı bir platform sağlamak. ChatGPT’nin bu amaçlarla nasıl kullanılacağını göstermek için siber suçlu, Dark Web piyasası ödeme sisteminin bir parçası olarak güncel kripto para birimi (Monero, Bitcoin ve Etherium) fiyatlarını almak için üçüncü taraf API kullanan bir kod parçası yayınlıyor.
2023’ün başında, bazı siber tehdit aktörleri, ChatGPT’nin dolandırıcılık planları için nasıl kullanılacağına odaklanan ek yeraltı forumlarında tartışmalar başlattı. Bunların çoğunun, başka bir OpenAI teknolojisi (DALLE2) ile rastgele sanat eserleri üretmeye ve bunları Etsy gibi meşru platformları kullanarak çevrimiçi satmaya odaklandığı görülüyor. Başka bir örnekte, tehdit aktörü belirli bir konu için nasıl e-kitap veya kısa bölüm oluşturulacağını (ChatGPT kullanarak) açıkladığı ve bu içeriği çevrimiçi olarak sattığı görülüyor.
ChatGPT yeteneklerinin Dark Web katılımcıları için yeni favori araç haline gelip gelmeyeceğine karar vermek için henüz çok erken. Bununla birlikte, siber suçlu topluluğu bu yeni teknolojiye şimdiden büyük bir ilgi göstermiş durumda.
