Компания OpenAI сообщила, что заблокировала аккаунты нескольких северокорейских хакерских групп, которые использовали платформу ChatGPT для изучения будущих целей и поиска способов взлома их сетей.

Сообщается, что заблокированные аккаунты были обнаружены с помощью информации, полученной от неназванного отраслевого партнера OpenAI.

Злоумышленники использовали ChatGPT не только для подбора инструментов для кибератак, но и для поиска информации по теме криптовалют, что часто интересует северокорейских правительственных хакеров.

Кроме того, злоумышленники использовали ChatGPT для помощи в кодинге, в том числе для помощи в использовании опенсорсных RAT, а также для отладки, изучения и разработки опенсорсных и публично доступных защитных инструментов и кода, которые могли использоваться в брутфорс-атаках на RDP.

Также аналитики OpenAI обнаружили, что при отладке ASEP и разработке методов атак на macOS северокорейские злоумышленники случайно раскрыли URL-адреса хранения вредоносных бинарников, о которых в то время не знали производители защитных решений.

В итоге эти URL-адреса и связанные с ними исполняемые файлы были переданы некому онлайн-сервису сканирования, чтобы облегчить обмен информацией с ИБ-сообществом. Теперь некоторые вендоры обнаруживают эти бинарники, защищая потенциальных жертв от будущих атак.

Также в ходе исследования того, как северокорейские хакеры использовали свои аккаунты, OpenAI выявила следующие виды вредоносной активности:

• запросы информации об уязвимостях в различных приложениях;


• разработка и диагностика RDP-клиента, написанного на C#;


• запрос кода для обхода предупреждений безопасности для неавторизованного RDP;


• запросы различных PowerShell-скриптов для RDP-соединений, загрузки и выгрузки файлов, выполнения кода из памяти и обфускации HTML-контента;


• обсуждение создания и развертывания обфусцированных полезных нагрузок для выполнения;


• поиск методов для целевого фишинга и социальной инженерии, нацеленных на криптовалютных инвесторов и трейдеров, а также обсуждение фишингового контента в целом;


• создание фишинговых писем и уведомлений, побуждающих пользователей раскрыть конфиденциальную информацию.

Помимо этого, компания заблокировала аккаунты, связанные со схемой трудоустройства северокорейских ИТ-специалистов. По информации OpenAI, в рамках этой схемы хакеры стремятся получить доходы для Пхеньяна, обманывая западные компании и вынуждая их принимать на работу замаскированных северокорейцев.

В этом случае ИИ использовался хакерами для выполнения рабочих задач, включая написание кода, устранение неполадок и даже обмен сообщениями с коллегами. Также ChatGPT применялся для составления легенд, объясняющих необычное поведение таких сотрудников (уклонение от видеозвонков, доступ к корпоративным системам из неавторизованных стран или ненормированный рабочий день).

В февральском отчете также упоминаются две операции, которые, вероятно, были связаны с китайскими злоумышленниками, аккаунты которых тоже были заблокированы.

В одной из этих операций, получившей название Peer Review, ChatGPT использовался для разработки и распространения шпионских инструментов. По данным OpenAI, здесь ChatGPT применялся для редактирования и отладки кода ИИ-инструментов, предназначенных для сбора и анализа сообщений и комментариев из социальных сетей (включая X, Facebook*, Telegram, Instagram*, YouTube и Reddit) в поисках дискуссий на политические и социальные темы в Китае.

Эта же группировка использовала ChatGPT для проведения исследований, перевода и анализа скриншотов англоязычных документов, а также для создания комментариев о китайских диссидентских организациях.

Также чат-бот применялся в кампании Sponsored Discontent, связанной с Китаем, которая предусматривала создание материалов для социальных сетей на английском языке и длинных новостных статей на испанском. Считается, что эта активность может быть частью дезинформационной кампании Spamouflage.