محققان شرکت DeepLocker ، IBM را بهعنوان یک متدولوژی حملهی مخفیانه توصیف میکنند که کلاسبندی مخصوص خود را دارد.
امنیت سایبری همانند یک بازی زورآزمایی نوبتی میباشد. مهاجمان دست پیش را گرفته و سپس مدافعان با یک تکنولوژی برتر از آنها پیشی میگیرند؛ البته این تکنولوژی برتر تا زمانی کاربرد دارد که مهاجمان یک تکنولوژی و یا متدولوژی جدیدی را ایجاد نکنند که نیازمند یک تکنولوژی دفاعی تازه برای مقابله به مثل باشد. به نقطهای رسیدهایم که تعداد زیادی از ارائهدهندگان خدمات امنیت سایبری مدعی هستند که با استفاده از هوش مصنوعی و شناسایی تهدیدات بهوسیلهی یادگیری ماشینی، توانستهاند از مهاجمان پیشی بگیرند.
اما بدیهی است که این زورآزماییِ نوبتی ادامهدار است و انتظار میرود که مهاجمان از برنامههای کاربردی هوش مصنوعی و یادگیری ماشینی خود برای شکستدادن برنامههای کاربردی مدافعان استفاده نمایند. در کنفرانس Black Hat که اخیرا برگزار شد، شرکت IBM راهی را معرفی نمود که Black Hatها فقط از این طریق میتوانند با مقابله به مثل با برنامههای کاربردی هوش مصنوعی و یادگیری ماشینی بپردازند که گروهی جدید از حملات بدافزار ارتقا یافته توسط هوش مصنوعی است که آن را DeepLocker مینامند.
دکتر مارک استوئکلین، مدیر و محقق تحقیقات اساسی در بخش امنیت سایبری شناختی شرکت IBM Research، این متدولوژی را برای سایت خبری SecurityWeek توصیف نمود. تیم دکتر استوئکلین، همان تیمی هستند که پروژه Watson را در IBM شروع نمودند. با اینکه هدف اصلی این تیم توسعهی برنامههای کاربردی هوش مصنوعی تازه برای تقویت امنیت و بهبود شناسایی تهدیدات میباشد، این تیم به گفتهی دکتر استوئکلین بر روی دستیابی به درک درستی از اهداف و مقاصد مهاجمان نیز تمرکز دارد. این تیم در جهت درک گسترهی تهدیدات، تغییروتحول تکنولوژیها و اینکه مهاجمان چگونه از تغییرات درحال وقوع در تکنولوژی سود میبرند، وقت زیادی را صرف مینماید.
شاید بتوان گفت که هوش مصنوعی تغییر اساسی کنونی در تکنولوژی میباشد. دکتر استوئکلین هشدار داد که با پیشبرد و دموکراتیزهنمودن هوش مصنوعی، تغییر تازهای در حال وقوع است که در نتیجهی آن مهاجمان میتوانند با سرعت و آسانی فراوان، از ابزار هوش مصنوعی کنونی که متن باز هستند سلاحسازی کرده و حملات بسیار مؤثری ایجاد نمایند. DeepLocker نتیجهی تحقیقات در وادی محتملهای جهان حال حاضر فقط با استفاده از تکنولوژیهای هوش مصنوعی رایگان و متن باز کنونی میباشد. برخی از مهاجمان اصلاً احتیاجی به توسعهی چیز تازهای ندارند، بلکه فقط باید از تکنولوژی موجود به شیوهای تازه استفاده نمایند.
براساس گفتههای دکتر استوئکلین، DeepLocker از هوش مصنوعی استفاده مینماید تا هر Payload مخربی را بهصورت نامرئی درون یک برنامهی کاربردی بیخطر و محبوب، برای مثال هرگونه برنامهی کاربردی محبوب مخصوص برگزاری کنفرانس، پنهان نماید. با DeepLocker میشود یک Payload مخرب را درون یک برنامهی کاربردی برقراری کنفرانسهای ویدیویی پنهان نمود. از طریق استفاده از هوش مصنوعی، مهندسی معکوس شرایط Unlock نمودن رفتارهای مخرب تقریباً غیرممکن است.
بطور خلاصه، DeepLocker یک متدولوژی برای پنهانسازی بدافزارها درون یک برنامهی کاربری قانونی و آنهم به شیوهای میباشد که هیچ محقق یا شکارچی تهدیدی نتواند متوجه حضور آن شود. اما DeepLocker پا از این امکان فراتر میگذارد. کلید Unlock و Detonate کردن بدافزار شناسایی Biometric یک هدف از پیش تعیینشده میباشد. این بدین معنی است که بدافزار DeepLocker میتواند بهصورت گسترده میان میلیونها کاربر توزیع شده، ولی تنها نسبت به هدف یا اهداف مشخصی فعال گردد.
براساس نوشتهی دکتر استوئکلین در یک وبلاگ مرتبط، میتوان این توانایی را با شلیک دقیق یک سلاح تک تیرانداز مقایسه کرد تا شلیک نامنظم و گستردهی یک سلاح ساچمهای که همانند حملات قدیمی بدافزار میباشد. DeepLocker طوری طراحی شده است که مخفیانه و دور از دید باشد تا از شناسایی بگریزد، مگر در لحظهی نهایی و هنگامیکه هدف مشخصی شناسایی شده باشد. چیزی که موجب مهم بودن این بدافزارِ ارتقایافته توسط هوش مصنوعی میگردد، این است که همانند طریقهی عملکرد بدافزار Nation-State، این بدافزار میتوان میلیونها سیستم را بدون اینکه مورد شناسایی قرار گیرد آلوده سازد و Payload مخرب خود را تنها بر روی اهداف مشخصی آزاد کند که صاحب این بدافزار تعیین نموده است. اما برخلاف بدافزار Nation-State، این امر که در حیطهی شهروندی و تبلیغاتی میسر میباشد.
IBM مشخص نکرد که Nation-State درحال حاضر از این ترفند خاص استفاده مینماید یا خیر، اما مسلما غیرممکن نیست. برای مثال Stuxnet که یک حملهی هدفمند علیه ایران بود، شناسایی شد و در نهایت مهندسی معکوس شده و شناخته شد که در نتیجهی این امر رسوایی قابلتوجهی برای دولت آمریکا و همچنین با میزانی کمتر، برای اسرائیل پیش آمد.
تقریباً شکی وجود ندارد که اگر Payload حملهی Stuxnet در متدولوژی DeepLocker کارگذاری میشد، این حمله به هیچعنوان قابل شناسایی و مهندسی معکوس نبود و شناسایی عامل پشت حمله تقریباً غیرممکن بود. Nation-Stateها میتوانند حملاتی بهشدت هدفمند و با مصونیت بسیار بالا را به انجام برسانند. Exploitهای Zero-Day را میتوان با اطمینان کمتری از مهندسی معکوس مدافعان و ایجاد تدافعات توسط آنها، پیادهسازی نمود.
به تازگی IBM در کنفرانس Black Hat، از یک Wannacry Payload کارگذاریشده در Deeplocker در یک برنامههای کاربردی برقراری کنفرانس ویدیویی استفاده نمود که با شناسایی قربانی نهایی موردنظر، فعال میشد. این مثال سناریوی مخربی است. فعالسازی یک Wiper هدفقرارگرفته میتواند در ابتدا کامپیوتر هدف را نابود ساخته و درعینحال تمام مدارک و اسناد وقوع هرگونه حادثهای را پاک نماید.
به گفتهی دکتر استوئکلین، میتوان هوش مصنوعی را آموزش داد که یک فرد، قربانی یا هدف مشخص را شناسایی کند و هنگامیکه آن فرد روبهروی کامپیوتر نشسته و از طریق وبکم قابل شناسایی است، کلیدی استخراج شود که به نرمافزار اجازه میدهد رفتار مخرب را Unlock نماید.
Trigger فعالسازی میتواند هرچیزی باشد؛ از شناخت چهره گرفته تا بیومتریک های رفتاری یا وجود یک برنامهی کاربردی خاص بر روی سیستم که میتواند جهت هدف قراردادن یک گروه یا سازمان مشخص، کمکرسان باشد. به گفتهی IBM میتوان برای مثال روزنامهنگاران حاضر در کنفرانس را درنظر گرفت. هرروزنامهنگار مطالب زیادی مینویسد و Stylometry مخصوص خود را دارد. میتوان هوش مصنوعی را به گونهای آموزش داد که مجموعهای از اسناد با Stylometry یک روزنامهنگار خاص را شناسایی کرده و براساس این شناسایی فعال گردد. معیارهای دیگری همچون موقعیت جغرافیایی و آدرس IP نیز میتوان اضافه کرد و در آن صورت تنها به جزئیات اندکی نیاز است تا بتوان مشخصاً هرکسی را در جهان از افراد دیگر متمایز و شناسایی نمود.
فقط بحث توزیع باقی میماند که به پیشنهاد IBM، درست همانند CCleanr، میتوان از Upstream استفاده نمود. نرمافزار CCleaner توسط مهاجمان آلوده شده و توسط میلیونها کاربر دانلود شده بود. اگر این آلودگی در DeepLocker پنهانشده بود، فقط هدف یا اهداف مشخص توسط بدافزار مربوطه آلوده میشدند. دیگر اهداف Upstream شامل Add-Onهای CMS میباشد که مهاجم از استفادهی آنها توسط کاربر آگاه است.
علیرغم اینکه این تهدید بسیار جدی بهنظر میآید، موفقیت آن حتمی نیست. این تهدید از استفادهی روزافزون از حملات مبتنی بر هوش مصنوعی سرچشمه میگیرد که ابزار مبتنی بر قوانین قدیمی را به چالش میکشند. به گفتهی دکتر استوئکلین، ما نیز باید بهعنوان مدافع از قدرت هوش مصنوعی در فرآیند توسعهی تدافعات در برابر این گونهی جدید از حملات بهره ببریم. چند ناحیه که باید بلافاصله به آن توجه نشان داده شود، استفاده از هوض مصنوعی در Detectorها و فراتر رفتن از امنیت، استدلال و خودکارسازی مبتنی بر قوانین بهمنظور تقویت تأثیر تیمهای امنیتی و حقههای سایبری در جهت گمراهسازی و غیرفعالنمودن حملات مبتنی بر هوش مصنوعی میباشد.
در عینحال، این باور وجود دارد که DeepLocker واقعاً غیرقابل شناسایی است. به گفتهی ایلیا کولوچنکو، CE کمپانی High-Tech Bridge ما همچنان برای رسیدن به تکنولوژیهای هوش مصنوعی و یادگیری ماشینی مخصوص هک کردن که بتوانند از مغز یک خلافکار سایبری فراتر روند، راه زیادی در پیش داریم. البته خلافکاران سایبری همین حالا هم بهصورت مؤثر مشغول استفاده از تکنولوژیهای یادگیری ماشینی و Big Data در جهت افزایش تأثیر و بازده کلی حملات خود میباشند. اما این امر به اختراع تکنولوژیهای هک تازه یا چیزی که ورای حیطهی تازهای از Exploitation یا حملات باشد نمیانجامد چرا که میتوان با استفاده از تکنولوژیهای دفاعی کنونی، در برابر تمام آنها ایستادگی نمود. علاوهبراین، شرکتهای امنیت سایبری بسیاری نیز درحال استفادهی بهینه از یادگیری ماشینی میباشند و عملکرد خلافکاران سایبری را مختل مینمایند. از همینرو، در حال حاضر هیچ جای نگرانی وجود ندارد.
