کد خبر: 338741
13 تیر 1405 - 23:26

اولین باج افزار خودکار جهان با هوش مصنوعی؛ جیدپافر آمد

شرکت امنیتی سیسدیگ از کشف اولین حمله باج افزاری خبر داده است که در آن یک عامل هوش مصنوعی به طور کامل و بدون دخالت انسان، تمام مراحل یک عملیات اخاذی سایبری را از نفوذ اولیه تا رمزنگاری و انهدام پایگاه داده انجام داده است. این حمله که جِیدپافر نام گرفته، نقطه عطفی در تکامل تهدیدات سایبری محسوب می شود و هشداری جدی برای سازمان هایی است که سامانه های خود را به روزرسانی نمی کنند.

متن خبر

به گزارش سیتنا، تیم تحقیقاتی شرکت امنیتی سیسدیگ، اولین نمونه مستند از یک عملیات باج‌افزاری را شناسایی کرده است که از ابتدا تا انتها توسط یک عامل هوش مصنوعی (AI Agent) مدیریت شده است. این حمله که نام «جیدپافر» بر آن نهاده شده، نشان‌دهنده ظهور نسل جدیدی از تهدیدات سایبری است که در آن یک مدل زبانی بزرگ (LLM) به‌طور خودکار زنجیره کامل نفوذ را هدایت کرده است.

نقطه ورود؛ یک آسیب‌پذیری کهنه در «لنگ‌فلو»

حمله جیدپافر با بهره‌گیری از یک آسیب‌پذیری امنیتی در نرم‌افزار منبع‌باز «لنگ‌فلو» (Langflow) آغاز شده است. این نرم‌افزار که برای ساخت اپلیکیشن‌های هوش مصنوعی و گردش‌کارهای عامل‌ها استفاده می‌شود، دارای یک روزنه امنیتی با شناسه CVE-2025-3248 است که به مهاجم اجازه می‌دهد بدون احراز هویت، کد دلخواه خود را روی سرور اجرا کند. اگرچه این آسیب‌پذیری در نسخه ۱.۳.۰ این نرم‌افزار رفع شده و توسط سازمان امنیت سایبری آمریکا (CISA) نیز در لیست آسیب‌پذیری‌های در حال بهره‌برداری قرار گرفته، اما همچنان بسیاری از سرورهای در معرض اینترنت این به‌روزرسانی را دریافت نکرده‌اند.

سرورهای لنگ‌فلو به دلیل آنکه اغلب در معرض اینترنت قرار دارند و حاوی کلیدهای API و اعتبارنامه‌های خدمات ابری هستند، هدفی جذاب برای مهاجمان محسوب می‌شوند.

اقدامات خودکار عامل هوش مصنوعی

پس از نفوذ موفق، عامل هوش مصنوعی جیدپافر با سرعت و دقتی شگفت‌آور به انجام مراحل بعدی پرداخت. این عامل به‌طور خودکار میزبان را برای یافتن اطلاعات حساس مانند کلیدهای API سرویس‌های هوش مصنوعی (OpenAI، Anthropic و...)، اعتبارنامه‌های سرویس‌های ابری (AWS، Azure، Google Cloud و...) و اطلاعات کیف پول‌های ارز دیجیتال اسکن کرد. همچنین با استفاده از رمزهای پیش‌فرض، به یک سرور ذخیره‌سازی MinIO نفوذ کرده و یک درِ پشتی (Backdoor) برای خود ایجاد کرد تا هر ۳۰ دقیقه یک بار با سرور مهاجم ارتباط برقرار کند.

در گام بعدی، عامل هوش مصنوعی به سمت هدف اصلی خود حرکت کرد: یک سرور تولیدی که پایگاه داده MySQL و سرویس پیکربندی Nacos را اجرا می‌کرد. جیدپافر با بهره‌گیری از آسیب‌پذیری احراز هویت CVE-2021-29441 و یک کلید امضای پیش‌فرض که از سال ۲۰۲۰ تغییر نکرده بود، موفق شد یک حساب کاربری مدیر برای خود ایجاد کند و کنترل کامل سامانه پیکربندی را به دست گیرد.

یک فاجعه غیرقابل جبران

نتیجه نهایی این حمله، فاجعه‌بار بود. عامل هوش مصنوعی ۱,۳۴۲ آیتم پیکربندی Nacos را با استفاده از الگوریتم رمزنگاری AES-128-ECB رمزنگاری کرد و سپس جدول‌های اصلی را حذف کرد. در محل آن‌ها، یک جدول با نام README_RANSOM ایجاد کرد که حاوی درخواست باج به همراه آدرس کیف پول بیت‌کوین و ایمیل پروتون‌میل برای تماس بود.

نکته هشداردهنده این است که عامل هوش مصنوعی، کلید رمزنگاری را به‌صورت تصادفی تولید کرده و آن را تنها یک بار روی صفحه نمایش چاپ کرده و هرگز آن را ذخیره یا برای مهاجم ارسال نکرده است. این به آن معناست که حتی اگر قربانی باج را پرداخت کند، هیچ راهی برای بازگرداندن اطلاعات رمزنگاری‌شده وجود ندارد.

شواهد حضور هوش مصنوعی

سیسدیگ با ارائه چندین شاهد فنی ثابت کرده است که این حمله توسط یک هوش مصنوعی مدیریت شده است، نه یک هکر انسانی. از جمله این شواهد می‌توان به موارد زیر اشاره کرد:

توضیحات به زبان طبیعی: کدهای مخرب تولیدشده، حاوی توضیحات کامل به زبان انگلیسی درباره هدف هر مرحله بود، رفتاری که در کدهای انسانی نادر است.

رفع خطا در ۳۱ ثانیه: در یک نمونه، عامل هوش مصنوعی پس از شکست در ایجاد یک حساب کاربری، در عرض تنها ۳۱ ثانیه خطا را تحلیل و یک راه‌حل چندمرحله‌ای ارائه و اجرا کرد.

کارشناسان هشدار می‌دهند که حمله جیدپافر نشان می‌دهد که آستانه تخصص فنی برای اجرای حملات باج‌افزاری به شدت کاهش یافته و هر مهاجمی با در اختیار داشتن یک عامل هوش مصنوعی می‌تواند حملات پیچیده را به‌صورت خودکار انجام دهد.

انتهای پیام

نظرات خود را با ما درمیان بگذارید

افزودن دیدگاه جدید

کپچا
CAPTCHA ی تصویری
کاراکترهای نمایش داده شده در تصویر را وارد کنید.