جوجل كتكشف على ثغرة zero-day لتخطي 2FA غالبا مطورة بالذكاء الاصطناعي

خلاصة القول: فريق Google Threat Intelligence كتاشف فاعل تهديد مجهول كيستعمل استغلال (exploit) لثغرة zero-day باش يتخطى المصادقة الثنائية (2FA) فواحد الأداة مفتوحة المصدر ديال إدارة الويب (باقي ما تذكرش سميتها)، وكاين ثقة كبيرة باللي هاد الاستغلال تطور باستعمال نماذج لغوية كبيرة (LLM). السكريبت ديال الاستغلال كيبين علامات واضحة ديال كود مكتوب بـ LLM، بحال docstrings تعليمية وتقييم CVSS مخترع. هاد الاكتشاف كيتعتبر أول استخدام خبيث ومؤكد للذكاء الاصطناعي باش يلقاو ثغرة ويطورو ليها استغلال فالواقع، وهادشي كيعني باللي وقت الهجمات غادي يقصار وخاص للمدافعين يتأقلمو معاه.

شنو وقع

فريق Google Threat Intelligence Group (GTIG) كشف على ثغرة zero-day تم استغلالها من طرف فاعل تهديد مجهول فعملية اللي وصفاتها المنظمة كـ "عملية استغلال ثغرات جماعية". التفاصيل كتقول باللي هاد الخلل كاين فواحد الأداة ويب شعبية ومفتوحة المصدر ديال إدارة الأنظمة — الشركة المطورة باقي ما تذكراتش — وهاد الثغرة كتمكن المهاجمين من تخطي المصادقة الثنائية (2FA) باستعمال سكريبت Python.

فريق GTIG أكد بثقة كبيرة باللي تم تسليح نموذج ذكاء اصطناعي باش يولّد الكود ديال هاد الاستغلال. السكريبت ديال Python فيه بزاف ديال العلامات اللي عادة كترتبط بالمخرجات ديال النماذج اللغوية الكبيرة (LLM): بحال docstrings تعليمية طويلة، وتقييم CVSS وهمي (hallucinated)، وتنسيق Pythonic مهيكل مزيان، وقوائم مساعدة مفصلة، وكلاس نقية ديال ألوان ANSI — هاد الأنماط كلها كتميز البيانات اللي كيتدربو عليها نماذج LLM.

هاد الثغرة كتحتاج بيانات اعتماد صحيحة ديال المستخدم باش يمكن استغلالها. السبب ديالها هو واحد الخلل منطقي دلالي (semantic logic flaw) عالي المستوى ناتج على افتراض ثقة مبرمج مسبقا (hard-coded trust assumption) — وهاد النوع ديال الأخطاء، نماذج الـ LLM كتقدر تبان فيه فعالة بزاف باش تكتشفو فقواعد الأكواد (codebases).

جوجل خدمات مع الشركة المعنية باش يعلنو على الثغرة بمسؤولية ويديرو ليها ترقيع. واخا ما كاين حتى دليل كيثبت باللي الذكاء الاصطناعي Gemini ديال جوجل تستعمل فهاد الهجوم، فريق GTIG أكد باللي كاين شي نموذج ذكاء اصطناعي مجهول تم تسليحه باش يكتشف ويستغل هاد الثغرة.

هاد الإعلان جا مع أدلة أخرى كتبين سوء الاستخدام الواسع ديال الذكاء الاصطناعي فالأنظمة البيئية ديال التهديدات. جوجل وثقات هجمات متزامنة من عند بزاف ديال فاعلي التهديد كيستعملو فيها نماذج لغوية باش يديرو أبحاث على الثغرات، يطورو البرمجيات الخبيثة، ويديرو إدارة للبنية التحتية التشغيلية ديالهم.

علاش هادشي مهم

هاد الحادث كيوضح واحد التحول هيكلي فمساحة الهجوم (attack surface). فاعل التهديد ولا عندو دابا أدوات كتنقص من الوقت والجهد بين اكتشاف الثغرة وتسليحها. هاد الاستغلال كيبين باللي نماذج LLM قادرة تكتشف أخطاء منطقية دلالية — اللي هو نفس النوع اللي الباحثين البشريين كيكونو عادة واعرين فيه — وتقدر تحول هاد الاكتشاف لكود استغلال خدام بلا ما تحتاج أي تدخل بشري.

بالنسبة للمدافعين، هادشي كيقلص الوقت ديال الاستجابة. نوافذ الترقيع كتصغار ملي الدورة ديال الانتقال من ثغرة لاستغلال كتولي سريعة. هاد التخطي ديال 2FA كيستهدف بالضبط آلية التحكم اللي مديورة باش تحمي من سرقة بيانات اعتماد؛ وهاد التخطي بطرق آلية كيصعب المهمة ويرفع سقف التحدي لبروتوكولات الاستجابة للحوادث اللي كتعول على الوقت باش تكتشف وتجاوب.

المشهد الواسع ديال التهديدات كيزيد من هاد الضغط. جوجل وثقات ستة ديال المجموعات المتميزة ديال التهديد — جاية من كوريا الشمالية (APT45)، ومن الصين (UNC2814، و APT27، و UNC6201، و UNC5673)، ومن روسيا — واللي كتسلح نماذج الذكاء الاصطناعي بشكل مستقل باش دير أبحاث على الثغرات، وتطور برمجيات خبيثة متعددة الأشكال (polymorphic malware)، وتشغل وكلاء ذاتيين (autonomous agents). كل مجموعة كتبين تخصصات مختلفة: شي وحدين مركزين على أهداف فالـ firmware، وحدين آخرين كيركزو على تقنيات تخطي الـ API، وحدين كيديرو تدوير الحسابات على نطاق واسع باش يغطيو على الأنشطة الخبيثة ويصعبو عملية التتبع.

السوق الرمادية ديال بيع الوصول عبر قنوات الـ API المخفية (shadow API relay) — جوجل لقات 17 خدمة من هاد النوع خدامة فالأسواق الصينية بحال Taobao و Xianyu باش دير قنوات تواصل وتتخطى القيود الإقليمية باش توصل للنماذج ديال Claude و Gemini — كيبين باللي هاد القدرات ما بقاتش محدودة غير فالهوامش. فاعل التهديد ولى كيوصل بشكل روتيني للنماذج المتقدمة عن طريق وسطاء محترفين (middleware) وأنظمة تسجيل آلية.

الأنظمة المتضررة و CVEs

• أداة إدارة أنظمة ويب مفتوحة المصدر (اسم الشركة والمنتج ما تذكروش)
• البرمجية الخبيثة فـ Android اللي سميتها PromptSpy (جات فالسياق كإثبات قدرات، ماشي كنظام مستغل)

حتى لوقت النشر، باقين ما خصصو حتى CVE. الإعلان الأمني ما كيعطيش أي معرف CVE للثغرة ديال تخطي 2FA.

شنو خاصنا نديرو

• نراقبو محاولات الاستغلال ضد أدوات إدارة الويب المفتوحة المصدر فالبيئة ديالنا، خصوصا هادوك اللي كيطبقو 2FA. نطلبو معلومات على الثغرات والترقيع مباشرة من عند الشركة المطورة (vendor) إذا كان الإعلان العام باقي محدود.
• نراجعو سجلات المصادقة (authentication logs) باش نقلبو على أحداث غريبة متعلقة بتخطي 2FA ولا مسارات مصادقة خارجة على العادة، خصوصا هاديك اللي مرتبطة بـ بيانات اعتماد صحيحة.
• إذا كنتو خدامين بهاد الأداة المتضررة، خاصكم تنسقو مع الشركة باش تفورنيو الترقيع الأمني وتطبقوه فأقرب وقت يتخرج فيه.
• نديرو تدقيق (audit) للسكريبتات ديال Python والاندماج مع تطبيقات الطرف الثالث (third-party integrations) ونقلبو على علامات ديال كود مطور بـ LLM — بحال كثرة الـ docstrings، وأنماط نمطية (textbook) ديال Python، وكلاسات الألوان، وخاصيات مساعدة طويلة بزاف — واللي تقدر تدل على وجود حمولة (payload) مخترقة أو خبيثة.
• بالنسبة للبيئات اللي خدامة بـ Android: نفحصو التطبيقات المثبتة ونشوفو واش كاين قدرات مشبوهة بحال تحليل الشاشة، تسجيل القياسات الحيوية (biometrics)، أو المنع من إلغاء التثبيت (uninstall prevention). البرمجية ديال PromptSpy ما كايناش فـ Play Store ولكن تقدر تجي من التحميل الجانبي (sideloading) و لا عن طريق قنوات متاجر خارجية.
• نطبقو المراقبة المستمرة فبيئة التشغيل (runtime) للبنية التحتية ديال الـ C2 باش نكتشفو الدوران الديناميكي لبيانات الاعتماد (dynamic credential rotation) والتغييرات فمفاتيح الـ API، خصوصا إذا كنا كنديرو إدارة لبنيات التتابع (relay infrastructure) وخدمات VNC.
• نوسعو عمليات البحث عن التهديدات (threat hunting) باش تشمل أنماط الاستعلام من نماذج LLM اللي كتمشي مع أبحاث الثغرات: بحال الـ prompts المبنية على تقمص الأدوار، وتحليل تفاصيل الثغرات (recursive CVE analysis)، وسلاسل تأكيد الـ PoC، ومحاولات كسر الحماية (jailbreaking) المعتمدة على انتحال شخصيات.

أسئلة باقة مطروحة

• شنو هو اسم وإصدار الأداة مفتوحة المصدر المتضررة ديال إدارة الويب.
• أما نموذج ديال الذكاء الاصطناعي بالضبط تستعمل باش يطور هاد الاستغلال — واش Claude، ولا Gemini، و لا منصة أخرى.
• شنو هو المعرف (CVE identifier) ديال الثغرة المتعلقة بتخطي 2FA.
• شحال ديال المنظمات أو المستخدمين تقاسو بهاد الحملة ديال الاستغلال.
• إمتى تطور هاد الاستغلال لأول مرة وتنفذ فالعمليات الميدانية.
• شنو هما الأهداف والقدرات الأخرى اللي تضمنتهم "عملية استغلال ثغرات جماعية" من غير تخطي 2FA.
• شكون هما فاعلي التهديد اللي منسوب ليهم التطوير والنشر الأساسي ديال هاد الاستغلال.
• شنو هو الحجم الحقيقي ديال الوظائف د هاد السكريبت ديال Python من غير تخطي 2FA.

Source

Hackers Used AI to Develop First Known Zero-Day 2FA Bypass for Mass Exploitation