伊朗黑客使用ChatGPT策划ICS攻击

根据OpenAI最新发布的《Influence and cyber operations: an update》报告，伊朗黑客组织CyberAv3ngers利用AI工具（如ChatGPT）策划针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。该组织与伊斯兰革命卫队（IRGC）相关，目标包括以色列、美国和爱尔兰的关键基础设施，如供水系统和电网。

CyberAv3ngers使用AI工具进行侦察、查找默认密码、研究漏洞，并编写bash和Python脚本来提升攻击能力。这一现象显示出网络攻击正越来越多地利用AI制定复杂的攻击战略，超越了传统安全防御的能力。

报告进一步指出，AI不仅是攻击者的工具，也是防御者的有力助手。AI能够帮助防御方更快识别和分析可疑行为，缩短应对时间。尽管威胁行为者频繁尝试使用AI来增强攻击手段，但目前尚无证据表明他们已通过AI创造出新的恶意软件或病毒式的传播工具。

美国国务院已确定六名参与针对美国水务公司攻击的伊朗黑客，并对其提供奖励，显示出国际社会对此类行为的高度关注和应对行动。

事件缘起

伊朗与政府有关联的黑客组织CyberAv3ngers在网络攻击中迅速提升了其技术能力，从早期的侦察逐渐升级为更复杂、更具破坏性的活动。该组织与伊斯兰革命卫队（IRGC）相关，并在攻击中利用了诸如ChatGPT等人工智能模型来攻击工业控制系统（ICS）和可编程逻辑控制器（PLC）。OpenAI的最新报告显示，这些黑客利用AI进行侦察、编写代码、研究漏洞，并向AI工具寻求具体的调试建议和ICS漏洞情报，进一步表明AI与国家级黑客攻击的融合加深。

报告指出，CyberAv3ngers提出的问题涉及多方面，例如如何优化攻击脚本、利用已知漏洞、实现隐蔽入侵等场景，总计列举了17种常见情形。

目标明确:针对关键基础设施

CyberAv3ngers 最近的行动集中在针对以色列、美国和爱尔兰等国家的关键基础设施，利用开源工具和已知漏洞对水系统、电网和制造设施发起攻击。2023 年底，该组织成功破坏了爱尔兰梅奥郡的供水服务，并入侵了宾夕法尼亚州阿利奎帕市的供水局，展示了他们在工业控制系统（ICS）中的攻击能力。

美国国务院已确定与该威胁组织相关的六名伊朗黑客，他们曾参与一系列针对美国水务公司的网络攻击，并为提供这些黑客信息的人提供了丰厚的奖励。这些攻击反映了该组织利用默认口令和可编程逻辑控制器（PLC）中的已知漏洞，来针对安全性较弱的工业网络进行破坏性活动。

CyberAv3ngers 专门瞄准工业控制系统中的薄弱环节，这些系统管理着关键基础设施的运行，如供水、电力和制造业务。通过结合人工智能的情报洞察和传统的网络攻击手段，他们的行动对国家安全构成了直接威胁。此类攻击不仅危及基础设施的稳定性，还可能对公众生活和经济安全造成严重影响。

这种对关键基础设施的攻击显示，工业网络的安全性需要进一步加强，特别是在面对结合先进技术手段的持续性攻击时。

使用LLM：用AI助力侦察和编写脚本

CyberAv3ngers 对大型语言模型（LLM）的依赖，特别是通过 ChatGPT 等 AI 工具，标志着网络攻击者在攻击生命周期中自动化操作的趋势。他们利用这些 AI 工具寻找各种工业设备的默认口令组合，尤其是在工业控制系统（ICS）和可编程逻辑控制器（PLC）中，这些设备的默认设置往往存在较大的安全隐患。此外，他们还积极探测约旦等地区的工业路由器，进而改进探测网络漏洞的脚本，从而增强其攻击武器库。

OpenAI 的研究指出，虽然此前的公开报道主要集中在 CyberAv3ngers 针对 ICS 和 PLC 的攻击目标上，但通过他们的 AI 工具使用方式，安全专家识别出他们可能还利用了其他技术和软件。例如，他们通过 AI 协助编写 Bash 和 Python 脚本，改进已有的开源工具，并混淆恶意代码，进一步提高了其逃避检测的能力。

这些操作不仅使 CyberAv3ngers 能够更好地规避网络安全防御系统，还使他们能够扩展针对工业网络的攻击能力。他们利用 AI 技术来简化和加速攻击流程，自动化脚本编写和漏洞探测的任务，使得这些攻击者能以更高效的方式进行侦察、渗透和利用。

这种 AI 辅助的攻击方式为传统的网络安全措施带来了巨大挑战。攻击者可以通过 AI 增强攻击的效率和隐蔽性，使得安全防御者必须应对更复杂和多样化的威胁。

随着AI能力的全球进步，AI公司将继续与内部团队合作，预测恶意行为者如何使用高级模型，并规划相应的执法步骤，与行业同行和研究社区合作，以保持领先风险并加强集体安全。

参考资源

1、https://thecyberexpress.com/cyberav3ngers-use-chatgpt-to-plan-ics-attacks/

2、https://cdn.openai.com/threat-intelligence-reports/influence-and-cyber-operations-an-update_October-2024.pdf

👇👇👇