برمجية "سلوبولي" الخبيثة المولدة بالذكاء الاصطناعي تمكن المهاجمين من اختراق مستمر لأسبوع كامل
كشف محللو الأمن السيبراني عن سلالة برمجية خبيثة جديدة أطلقوا عليها اسم "سلوبولي"، يشتبه بقوة أنها مولدة باستخدام أدوات الذكاء الاصطناعي. مكّنت هذه البرمجية المهاجمين من الحفاظ على وصول مستمر إلى خادم تم اختراقه لأكثر من أسبوع كامل. تم استغلال هذا الوصول لسرقة بيانات حساسة كجزء من هجوم ببرنامج الفدية المعروف باسم "إنترلوك".
بدأت سلسلة الاختراق بتكتيك هندسة اجتماعية يُعرف باسم خدعة "كليكفيكس". في المراحل اللاحقة من العملية، نشر المهاجمون برمجية "سلوبولي" الخلفية. تم تنفيذ هذه الأداة الخبيثة كبرنامج نصي لـ "باورشيل" مصمم ليعمل كعميل لإطار عمل تحكم وتحكم عن بعد، مما وفر للمهاجمين سيطرة كاملة على النظام المصاب.
حدد باحثو "آي بي إم إكس-فورس" الذين حللوا البرنامج النصي عدة مؤشرات قوية تشير إلى إنشائه عبر نموذج لغوي كبير. بينما لم يتم تحديد أداة الذكاء الاصطناعي المحددة، فإن خصائص الكود غير معتادة للغاية في البرمجيات الخبيثة التي يطورها البشر. تشمل العلامات الدالة كمية مفرطة من التعليقات التوضيحية داخل الكود، وإجراءات تسجيل منهجية بدقة، وآليات شاملة للتعامل مع الأخطاء، واستخدام متغيرات وصيفة ذات أسماء واضحة.
تم نسب الهجوم من قبل "آي بي إم" إلى مجموعة تهديدات تحمل الرمز "هايف زيرو سيكس ثري" وتتحرك بدافع مالي. يُعتقد أن الهدف الأساسي للمجموعة هو الابتزاز، الذي يتحقق عبر استخراج البيانات على نطاق واسع يليه نشر برمجيات الفدية. على الرغم من الأصل المتطور المقترح لإنشائه بمساعدة الذكاء الاصطناعي، فإن برمجية "سلوبولي" نفسها تُقيم على أنها غير متطورة نسبياً في إمكانياتها.
يُظهر هذا التطور أن جهات التهديد تستفيد بنشاط من الذكاء الاصطناعي التوليدي لتسريع تطوير برمجيات خبيثة مخصصة. يمكن لهذا التسريع أن يخفض عتبة الدخول للمجرمين السيبرانيين ويساعد في إنشاء أدوات قد تتجاوز طرق الكشف التقليدية القائمة على التوقيعات بسهولة أكبر. على الرغم من أن التعليقات داخل برنامج "سلوبولي" تصفه بأنه "عميل تحكم وتحكم عن بعد متعدد الأشكال"، إلا أن التحليل لم يجد أي ميزات حقيقية تسمح للكود بتعديل هيكله أو توقيعه لتجنب الكشف.
