קבוצות האקרים הנתמכות על ידי ממשלת איראן (אבל גם כאלה מסין, רוסיה וצפון קוריאה) הפכו למשתמשות כבדות במערכת הבינה המלאכותית "ג'מיני" (Gemini) של ענקית הטק גוגל, כך עולה מדוח שפורסם על ידי חטיבת מודיעין הסייבר של גוגל עצמה.
4 צפייה בגלריה
ג'מיני 2.0 של גוגל
ג'מיני 2.0 של גוגל
ג'מיני 2.0 של גוגל
(גוגל)
לפי הדוח, הקבוצות האיראניות משתמשות ב-AI למגוון רחב של מטרות - החל מביצוע מודיעין וחיפוש חולשות, ועד ליצירת תכנים לשימוש בקמפיינים עתידיים. השימוש שלהם משקף אינטרסים אסטרטגיים איראניים, הכוללים מחקר המתמקד בארגוני ביטחון ומומחים, מערכות הגנה, ממשלות, מתנגדי משטר, הסכסוך הישראלי-פלסטיני ונושאים חברתיים באיראן.

החל מפישינג ועד איסוף מידע

חוקרי החברה מצאו שיותר מ-10 קבוצות הנתמכות על ידי איראן נצפו משתמשות בג'מיני. חלק מהשימושים כללו מחקר כיצד לחלץ נתונים ממכשירי אנדרואיד, כתיבת קוד וסקריפטים (כמו למשל PowerShell ופקודות לינוקס, קוד Python לקצירת נתוני אתרים, פיתוח סקריפטים לאיסוף ואחסון כתובות IP ומידע דפדפן של משתמשים, סיוע בתכנות, שינוי קוד Assembly, סיוע בהבנת הודעות שגיאה וכו'), מחקר חולשות ומחקר על ארגונים (ארגונים צבאיים וממשלתיים, חברות אבטחת סייבר, ארגונים בינלאומיים המפקחים על פיתוח נשק).
בנוסף נמצא כי אותן קבוצות ביצעו מחקר על מערכות הגנה (כמו למשל מידע על הסכסוך הישראלי-פלסטיני, כלי טיס בלתי מאוישים, מערכות נגד כטב"מים, טכנולוגיית לוויין, טכנולוגיית חישה מרחוק, מערכות הגנה ישראליות), ויצירת תוכן (יצירת תוכן בנושאי אבטחת סייבר ובינה מלאכותית, התאמת תוכן, תרגום טקסטים שונים לפרסית, עברית ואנגלית).
4 צפייה בגלריה
סייבר איראני, מתוך פוסט בפרסית
סייבר איראני, מתוך פוסט בפרסית
סייבר איראני. מתוך הרשתות החברתיות האיראניות
(צילום מסך)
לפי הנתונים, למעלה מ-30% מהשימוש האיראני בג'מיני קשור לקבוצת התקיפה APT 42, כאשר רוב ההתמקדות של הקבוצה הייתה ביצירת קמפיינים מוצלחים של פישינג. עוד נמצא שהקבוצה משתמשת במערכת ה-AI לביצוע מודיעין אחר מומחי מדיניות וביטחון, כמו גם ארגונים המעניינים את הקבוצה, כאשר רק בספטמבר האחרון התריע מערך הסייבר שהקבוצה ניסתה לבצע קמפיין פישינג נגד אקדמאים ובכירים ישראלים.
בנוסף למודיעין, APT 42 השתמשה ביכולות היצירה ועריכת הטקסט של ג'מיני כדי ליצור חומרים לקמפיינים של פישינג, כולל יצירת תוכן בנושאי אבטחת סייבר שנראו דומים לארגון ביטחון אמריקאי ונועדו להתחזות לו.

מחקר ביטחוני, גיוס סוכנים, והגדלת חשיפה

APT42 השתמשה בנוסף בג'מיני לתרגום של טקסטים לשפות שונות, בהן עברית, כולל לוקליזציה (התאמת תוכן לקהל מקומי, ר"ק). כמובן שמאוד סביר להניח שהקבוצה מינפה את היכולות של המערכת גם לטובת גיוס סוכנים ישראלים או ניסיונות לקבל גישה למערכות ישראליות.
קבוצת התקיפה השתמשה גם בפונקציות התרגום וההסברה של ג'מיני כדי להבין טוב יותר מידע זמין לציבור על מערכות הגנה. מאמציה כללו מחקר כללי על הסכסוך הישראלי-פלסטיני, כמו גם מגמות אסטרטגיות בתעשיית הביטחון.
4 צפייה בגלריה
קלע דוד מערכת הגנה אווירית ליירוט מטרות בטווח בינוני־ארוך
קלע דוד מערכת הגנה אווירית ליירוט מטרות בטווח בינוני־ארוך
מערכת "קלע דוד" - האיראנים משתמשים בג'מיני גם כדי להבין יותר טוב את מערכות ההגנה הישראליות
(צילום: דוברות רפאל)
קבוצת סייבר איראנית אחרת התמקדה גם בהבנת מערכות הגנה במלחמה, כולל מחקר ספציפי לשיבוש אותות לוויין ומערכות נגד כטב"מים. אחרות חקרו מערכות הגנה ספציפיות, כולל מחקר מידע על דגמים ספציפיים של כלי טיס בלתי מאוישים (UAV), שיבוש מטוסי קרב F-35 (ששימשו על פי פרסומים זרים לתקיפת הנגד באיראן באוקטובר שעבר), מערכות נגד כטב"מים ומערכות הגנה מפני טילים של ישראל.
כאמור לא מדובר רק בסייבר – מהדוח עולה כי קבוצות הפועלות מטעם איראן משתמשות בג'מיני למגוון משימות, בהן הבנת תכנים מקומיים, תרגום חומרים קיימים, כולל מאמרים חדשותיים, וקבלת הסבר להקשר ומשמעות של ביטויים ספציפיים בטקסטים.
פעילות איראן כללה גם מחקר לשיפור המיקוד של הקמפיינים שלה. לדוגמה, יצירת תוכן מותאם למנועי חיפוש (SEO), ככל הנראה במאמץ להגיע לקהל גדול יותר. חלק מהקבוצות אף השתמשו בג'מיני כדי לפתח אסטרטגיות להגברת מעורבות ברשתות החברתיות.

בינה מלאכותית בשירות התוקפים

ההתקדמות המהירה בתחום הבינה המלאכותית (AI) פותחת אפשרויות חדשות גם בתחומי הסייבר - אבל אם מודלי שפה גדולים (LLM) מציעים אפשרויות חדשות לאלו העוסקים בהגנה, חלק מאותן יכולות זמינות גם לתוקפים, מה שמוביל לחשש לגבי הפוטנציאל לשימוש לרעה בבינה מלאכותית למטרות זדוניות.
מרבית השיח הנוכחי סביב שימוש לרעה בבינה מלאכותית על ידי שחקני סייבר מוגבל למחקר תיאורטי. בעוד מחקרים אלו מדגימים את הפוטנציאל לניצול זדוני של בינה מלאכותית, הם לא בהכרח משקפים את המציאות בשטח.
4 צפייה בגלריה
מנכ"ל גוגל סונדר פיצ'אי
מנכ"ל גוגל סונדר פיצ'אי
מנכ"ל גוגל, סונדר פיצ'אי. בחברה מרגיעים, אבל הנתונים מטרידים
(צילום: AP Photo/Jeff Chiu, File)
בגוגל טוענים: "הממצאים שלנו, העולים בקנה אחד עם אלו של עמיתינו בתעשייה, מגלים כי בעוד שבינה מלאכותית יכולה להיות כלי שימושי עבור תוקפים, היא עדיין לא משנה את כללי המשחק כפי שלעתים קרובות מתארים אותה. ובעוד אנו רואים קבוצות תקיפה המשתמשות בבינה מלאכותית גנרטיבית כדי לבצע משימות נפוצות כמו פתרון בעיות, מחקר ויצירת תוכן, אנו לא רואים אינדיקציות לכך שהם מפתחים יכולות חדשניות".
במילים אחרות - בגוגל מנסים למזער את הסיכון שעשוי להיווצר מצידן של קבוצות תקיפה שונות. ועדיין, המחקר של גוגל מספיק מטריד גם ללא פיתוח של סופר-האקר מבוסס AI שיוכל להכות את כל ההגנות שיש כיום בעולם.
כבר כיום ישנם מודלי שפה גדולים שפועלים בקוד פתוח שכל אחד יכול להריץ מקומית על מחשב משלו. אפילו מודלים רשמיים ניתנים לעקיפה - להלן "דיפסיק" (Deepseek) הסיני, שכבר עכשיו הפך ליעד עבור מיליוני מומחים שמנסים לפצח אותו (ודי בהצלחה לפי דיווחים שעלו בסוף השבוע בתקשורת).
כאמור, המשתמשים הגדולים ביותר של ג'מיני בקרב קבוצות הסייבר הם איראנים, רוסים, סינים וצפון קוריאנים. בסך הכל, גוגל זיהתה 57 קבוצות, יותר מ-20 מהן מסין, וכ-10 קבוצות צפון קוריאניות המשתמשות בג'מיני.
הבעיה העיקרית, מעבר לפיתוחים טכניים, היא שהשימוש ב-AI מאפשר לקבוצות האלה לפתח את מנגנוני הפישינג שלהן. לפני הכניסה של בינה מלאכותית גנרטיבית לחיינו, הדרך הטובה ביותר לזהות התקפות פישינג הייתה לחפש שגיאות כתיב ודקדוק וניסוח לא עקבי בהודעות לא מוכרות. כעת, כאשר הבינה המלאכותית כותבת ועורכת, השיטה כמעט ואינה עובדת יותר, ואנשי מקצוע בתחום האבטחה יצטרכו לפנות לגישות חדשות.