Σύνοψη
- Η χρήση της γενετικής τεχνητής νοημοσύνης από τους εγκληματίες του κυβερνοχώρου κάνει τον εντοπισμό των επιθέσεων ολοένα και πιο δύσκολο.
- Ο κώδικας και τα μηνύματα phishing που δημιουργούνται από την AI αφαιρούν τα ανθρώπινα ίχνη στα οποία βασίζονταν οι αναλυτές ασφαλείας.
- Τα κείμενα και ο κώδικας που παράγονται από την AI είναι τυποποιημένα, χωρίς τα χαρακτηριστικά γλωσσικά λάθη ή τα μοτίβα που βοηθούσαν στην απόδοση μιας επίθεσης.
- Οι επιτιθέμενοι ενσωματώνουν μεγάλα γλωσσικά μοντέλα για την ανάπτυξη κακόβουλου λογισμικού, όπως παρατηρήθηκε στις εκστρατείες της ομάδας FunkSec και στην επίθεση RevengeHotels το 2025.
Η AI διαγράφει τα ψηφιακά αποτυπώματα, δυσκολεύοντας την ταυτοποίηση επιθέσεων στον κυβερνοχώρο
Καθώς οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν όλο και περισσότερο τη γενετική τεχνητή νοημοσύνη στις επιθέσεις τους, ο εντοπισμός τους γίνεται ολοένα και πιο δύσκολος. Αυτό είναι το βασικό συμπέρασμα που προκύπτει από τα νέα δεδομένα, αναδεικνύοντας τη ραγδαία μεταβολή των μεθόδων που χρησιμοποιούν οι hackers. Ο κώδικας και τα μηνύματα phishing που παράγονται από την AI αφαιρούν τα ανθρώπινα «αποτυπώματα» στα οποία βασίζονται συνήθως οι αναλυτές ασφάλειας για να εντοπίσουν τέτοιες απειλές.
Σύμφωνα με τους ειδικούς της Ομάδας Παγκόσμιας Έρευνας και Ανάλυσης (GReAT) της Kaspersky, οι επιτιθέμενοι αξιοποιούν εντατικά την τεχνητή νοημοσύνη για τη συγγραφή κώδικα, τη δημιουργία μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing) και την παραγωγή λειτουργικού περιεχομένου για τις επιθέσεις τους. Σε αντίθεση με το υλικό που παράγεται από ανθρώπους, το υλικό της AI είναι συνήθως ουδέτερο και τυποποιημένο. Απουσιάζουν τα χαρακτηριστικά γλωσσικά λάθη ή τα συγκεκριμένα μοτίβα προγραμματισμού, τα οποία στο παρελθόν αποτελούσαν βασικά εργαλεία για την απόδοση των επιθέσεων σε συγκεκριμένες ομάδες.
Ως συνέπεια αυτής της τυποποίησης, οι αναλυτές ασφαλείας χρειάζεται πλέον να βασίζονται περισσότερο σε στοιχεία υποδομής, σε ομοιότητες στα εργαλεία που χρησιμοποιούνται από τους δράστες, καθώς και σε ευρύτερα μοτίβα συμπεριφοράς για να εντοπίσουν την πηγή της απειλής.
Πώς τα LLMs επιταχύνουν την ανάπτυξη malware
Η Kaspersky αναμένει επίσης ότι η AI θα παίξει όλο και μεγαλύτερο ρόλο στην ολοκληρωμένη ανάπτυξη κακόβουλου λογισμικού τύπου implant. Τα μεγάλα γλωσσικά μοντέλα (LLMs) είναι πλέον σε θέση να παράγουν μεγάλα μέρη κακόβουλου λογισμικού, αναλαμβάνοντας διαδικασίες που εκτείνονται από την αρχική δομή του κώδικα έως την κατασκευή λειτουργικών υποσυστημάτων.
Οι ερευνητές έχουν ήδη παρατηρήσει αυτή την εξέλιξη, καταγράφοντας την ανάπτυξη κακόβουλου λογισμικού με τη συνδρομή της τεχνητής νοημοσύνης σε εκστρατείες που συνδέονται με την ομάδα FunkSec. Η συγκεκριμένη ομάδα ανέπτυξε κακόβουλο λογισμικό βασισμένο στη γλώσσα προγραμματισμού Rust, το οποίο είναι ικανό για κλοπή δεδομένων, κρυπτογράφηση αρχείων και άμεση παρέμβαση σε διεργασίες του συστήματος. Αντίστοιχη μεθοδολογία εντοπίστηκε και στην εκστρατεία RevengeHotels του 2025, όπου οι δράστες χρησιμοποίησαν μεγάλα γλωσσικά μοντέλα για να δημιουργήσουν τμήματα του κώδικα του infector και του downloader.
«Η τεχνητή νοημοσύνη αναμένεται να παραμείνει ένας από τους καθοριστικούς παράγοντες του τοπίου κυβερνοαπειλών το 2026, καθώς βλέπουμε ήδη να μετασχηματίζει τις διαδικασίες των επιτιθέμενων και να επιταχύνει τις επιχειρήσεις τους», δήλωσε ο Georgy Kucherin, ανώτερος ερευνητής ασφαλείας στην Kaspersky GReAT. Η AI επιτρέπει στους δράστες να επαναλαμβάνουν γρήγορα τις δοκιμές τους και να κλιμακώνουν τις προσπάθειές τους, μειώνοντας δραστικά τον χρόνο και το κόστος που απαιτείται για την ανάπτυξη και προσαρμογή κακόβουλων εργαλείων.
Οι 5 κύριες τάσεις στις κυβερνοαπειλές
Οι ειδικοί ασφαλείας πρέπει να είναι έτοιμοι για ταχείες αλλαγές στις μεθόδους που χρησιμοποιούνται από τους hackers. Η Kaspersky επισημαίνει πρόσθετες τάσεις που διαμορφώνουν το σύγχρονο τοπίο των απειλών:
- Ανάπτυξη κακόβουλου λογισμικού με τη βοήθεια της AI: Τα παραγωγικά μοντέλα μπορούν να ξαναγράψουν κακόβουλο λογισμικό σε διαφορετικές γλώσσες ή με διαφορετική δομή. Αυτή η ικανότητα τους επιτρέπει να αντικαθιστούν ενδεχομένως τους παραδοσιακούς crypters, κάνοντας το malware πιο δύσκολο να εντοπιστεί από τα antivirus.
- Εξαγωγή δεδομένων μέσω cloud: Οι επιτιθέμενοι όλο και πιο συχνά διοχετεύουν τα κλεμμένα δεδομένα μέσω νόμιμων υπηρεσιών cloud και πλατφορμών κοινής χρήσης αρχείων. Ο στόχος είναι η κίνηση των δεδομένων να συγχωνεύεται με την κανονική διαδικτυακή κίνηση, παρακάμπτοντας τα συστήματα παρακολούθησης δικτύου.
- Ransomware που στοχεύει τις επιχειρησιακές λειτουργίες: Ορισμένες ομάδες δραστών δεν αρκούνται μόνο στην κρυπτογράφηση των δεδομένων. Αντιθέτως, παρεμποδίζουν ενεργά λειτουργίες στην παραγωγή και τις επιχειρησιακές διαδικασίες των εταιρειών, προκειμένου να εντείνουν την πίεση για την καταβολή των λύτρων.
- AI agents ως εργαλεία διατήρησης πρόσβασης (Persistence): Παρατηρείται η χρήση AI agents που διαθέτουν εκτεταμένη ή πλήρη πρόσβαση στο σύστημα. Σε περίπτωση παραβίασης, οι επιτιθέμενοι θα μπορούσαν να αλλάξουν το system prompt ή τις ρυθμίσεις του agent, ώστε ο υπολογιστής να κατεβάζει αυτόματα κακόβουλο λογισμικό κάθε φορά που πραγματοποιείται εκκίνηση.
- Κίνδυνος για δορυφορικά δίκτυα: Η αυξανόμενη χρήση υπηρεσιών δορυφορικού Internet ενδέχεται να μετατρέψει τα κεντρικά δορυφορικά και τα επίγεια συστήματα σε στόχους μεγάλης επίδρασης για τους hackers.
Με τη ματιά του Techgear
Η αυτοματοποίηση των κυβερνοεπιθέσεων μέσω AI δεν αποτελεί απλώς μια τεχνολογική αναβάθμιση για τους hackers, αλλά μια θεμελιώδη αλλαγή της αρχιτεκτονικής του κυβερνοπολέμου. Η απουσία “ανθρώπινου αποτυπώματος” στον κώδικα σημαίνει πως οι παραδοσιακές μέθοδοι ανάλυσης –που βασίζονταν σε γλωσσικά ιδιώματα ή συγκεκριμένα στυλ προγραμματισμού για τον εντοπισμό π.χ. κρατικών hackers– καθίστανται παρωχημένες.
Για τις ελληνικές επιχειρήσεις, η έκθεση της Kaspersky αποτελεί ηχηρή προειδοποίηση: η άμυνα πρέπει να βασίζεται πλέον στη συνεχή παρακολούθηση της συμπεριφοράς των συστημάτων και στην αρχιτεκτονική Zero Trust, και όχι αποκλειστικά στην αναγνώριση γνωστών “υπογραφών” malware. Ειδικά η χρήση AI agents ως μηχανισμών διατήρησης πρόσβασης απαιτεί ριζική αναθεώρηση του τρόπου με τον οποίο οι IT administrators διαχειρίζονται τα δικαιώματα εντός των εταιρικών δικτύων.
