ChatGPT rašo kenkėjišką kodą: kaip DI tapo kibernetinių atakų gamykla

Kai 2025-ųjų rugpjūtį Ukrainos karinės struktūros pradėjo gauti neįprastai įtikinamus laiškus su fiktyviais kvietimais į konferencijas, niekas neįtarė, kad už jų slypi ne žmogus, o dirbtinis intelektas. Laiškų formuluotės buvo sklandžios, priedai atrodė autentiški, o iliustracijos — sukurtos profesionaliai. Tai nebuvo eilinis sukčių darbas. Tai buvo „GreyVibe" — rusakalbių programuotojų grupė, kuri „ChatGPT", „Google Gemini" ir „Ideogram AI" pavertė plataus masto kibernetinio šnipinėjimo dirbtuvėmis.

Suomijos kibernetinio saugumo bendrovė „WithSecure" šią kampaniją aptiko sausį ir nustatė, kad ji nukreipta prieš Ukrainos ir su Ukraina susijusias organizacijas kariuomenės, vyriausybės, civiliniame ir verslo sektoriuose. Tyrėjų teigimu, „GreyVibe" veikla prasidėjo mažiausiai prieš metus ir, nors atitinka valstybinio masto operacijų profilį, patys užpuolikai demonstruoja stebėtinai žemą operacinę discipliną — tokią, kokia labiau būdinga kibernetiniams nusikaltėliams nei brandžiai žvalgybos tarnybai.

Trys atakų grandinės ir DI sukurtas masalas

„WithSecure" ataskaitoje teigiama, kad grupuotė naudojo kelias skirtingas atakų grandines. Vienoje jų — „PrincessClub" kampanijoje — aukoms buvo siunčiami fiktyvūs pranešimai apie tariamą konferenciją, o kenkėjiški failai buvo užmaskuoti kaip renginio programa. Kitoje, pavadintoje „Nebo", taikytasi į organizacijas per suklastotus kvietimus į karinius renginius. Abiem atvejais masalas atrodė taip įtikinamai, kad net patyrę specialistai galėjo suklupti.

Ir čia slypi esminis šios istorijos posūkis. Visos iliustracijos, tekstai ir net kai kurie kenkėjiškų programų fragmentai buvo sukurti pasitelkus dirbtinį intelektą. „ChatGPT" generavo laiškų tekstus, „Ideogram AI" kūrė vizualinę medžiagą, o „Google Gemini" padėjo formuoti įtikinamus scenarijus. Tyrėjai nustatė, kad DI pagalba buvo sukurti net keturi skirtingi kodo maskavimo įrankiai — LOOKVALPS, LOOKVALJS, DAYLIGHT ir TEASOUP — skirti paslėpti kenkėjišką kodą nuo antivirusinių programų.

Nuo „PowerShell" iki „Android" šnipinėjimo

Visgi „GreyVibe" arsenalas tuo nesibaigia. Grupuotė naudojo „LegionRelay" — nuotolinės prieigos Trojos arklį, parašytą „PowerShell" kalba ir, tyrėjų nuomone, taip pat sukurtą su DI pagalba. Ši programa geba vogti failus, daryti ekrano nuotraukas, rinkti naršyklių slaptažodžius, eksfiltruoti „Telegram" ir „WhatsApp" duomenis bei įgalinti nuotolinio darbalaukio prieigą. Kitas įrankis — „PhantomRelay" — renka sistemos informaciją, dinamiškai užkrauna kenkėjiškus scenarijus ir vykdo komandas tiek „PowerShell", tiek „Windows" aplinkoje.

Dar vienas nerimą keliantis radinys — „FallSpy", „Android" šnipinėjimo programa, kuri buvo naudojama „PrincessClub" ir „Nebo" kampanijose. Ji skirta tik žvalgybai: renka kontaktų sąrašus, skambučių istoriją, įrenginio ir tinklo informaciją, buvimo vietos duomenis, medijos failus ir SIM kortelės duomenis. Tai reiškia, kad „GreyVibe" taikėsi ne tik į kompiuterius, bet ir į mobiliuosius įrenginius — ir darė tai tyliai, be jokių išorinių požymių.

Nusikaltėliai ar žvalgyba? O gal — abu?

Kas iš tiesų stovi už „GreyVibe"? Atsakymas nėra vienareikšmis. Ryšys su rusakalbiais užpuolikais patvirtintas per kelis sluoksnius: kenkėjiškų programų valdymo skydų kalba — rusų, kodo komentaruose — rusiški įrašai, o C2 serverių laikas nustatytas pagal UTC+3 (Maskvos laiką). Tačiau „WithSecure" tyrėjai pabrėžia, kad „GreyVibe" operacinis braižas labiau primena kibernetinius nusikaltėlius nei profesionalią žvalgybos tarnybą.

Šiai teorijai yra ir daugiau įrodymų. Ankstyvuosiuose bandymų pavyzdžiuose rastas unikalus ISO kūrimo įrankis, anksčiau sietas su „TrickBot" grupuotės narių atskala (UAC-0098), kuri taikėsi į Ukrainą Rusijos invazijos pradžioje. Be to, „GreyVibe" kūrėjai kėlė plėtojamus ir testinius pavyzdžius į viešą nuskaitymo platformą — valstybiniai veikėjai taip nesielgia. Kai kuriose aukų mašinose netgi buvo įdiegta kriptovaliutų kasimo programa — tipiškas kibernetinių nusikaltėlių, o ne žvalgybos tarnybų, braižas.

„WithSecure" ataskaitoje daroma išvada, kad „GreyVibe" tikriausiai sudaro „dabartiniai arba buvę kibernetinių nusikaltėlių pasaulio veikėjai". Kitaip tariant, tai nėra švari valstybinė operacija — veikiau hibridas, kuriame susipina organizuotas nusikalstamumas ir geopolitiniai interesai. Ir būtent šis derinys kelia didžiausią nerimą, nes jis reiškia, kad aukštos kokybės šnipinėjimo įrankiai gali atsidurti bet kieno rankose.

Ką reiškia DI kaip ginklas

Viso to kontekste „GreyVibe" istorija nėra tik dar viena kibernetinė ataskaita. Tai pirmas atvejis, kai tyrėjai taip išsamiai dokumentuoja, kaip DI modeliai naudojami ne pavieniams, o sisteminiams kibernetiniams nusikaltimams. „ChatGPT" ir „Gemini" čia yra ne pagalbininkai — jie yra visavertė gamybos linija, generuojanti tekstus, iliustracijas ir net patį kenkėjišką kodą.

Paprastam vartotojui tai reiškia viena: sukčių laiškai tapo beveik neatskiriami nuo tikrų. Jei anksčiau juos išduodavo prasta gramatika, keistos formuluotės ar nelogiški priedai, dabar DI sukuria tekstą, kurio kokybė prilygsta profesionalaus raštinės darbuotojo laiškui. O kai laišką pasirašo jūsų pažįstama organizacija, kviečianti į realiai egzistuojančio renginio atidarymą, atpažinti apgaulę tampa beveik neįmanoma.

„WithSecure" ataskaita — tai ne tik techninė analizė, bet ir perspėjimas: kibernetinio saugumo pasaulis įžengė į erą, kurioje gynybos priemonės turi būti pajėgios atpažinti ne tik kenkėjiškus parašus, bet ir DI generuotą turinį. O kol kas tokios priemonės dar tik kuriamos.