سوءاستفاده بیسابقه از هوش مصنوعی گوگل؛ ساخت ارتش سایبری و کلاهبرداری خودکار با کلیدهای سرقتی Gemini!
خرابکاری بزرگ هوش مصنوعی در تلگرام! یک گرداننده روسزبان با سرقت ۷۳ کلید دسترسی (API) هوش مصنوعی Gemini گوگل، کانالی فیک با ۱۷ هزار عضو را به مدت ۵ سال کاملاً خودکار اداره و از کاربران کلاهبرداری رمزارزی میکرد.
۱. داستان یک فریب ۵ ساله؛ سوار بر موج موج سهمگین دوقطبی سیاسی
ماجرا از فوریه ۲۰۲۱ (کمی پس از شورشهای تالار کنگره آمریکا) آغاز شد؛ زمانی که بسیاری از جوامع تندرو از شبکههای اجتماعی اصلی حذف شدند و به تلگرام کوچ کردند. هکر روسزبان با نام مستعار bandcampro از این فرصت طلایی استفاده کرد و کانالی به آدرس @americanpatriotus ساخت و خودش را یک کهنهسرباز وطنپرست آمریکایی جا زد. هدف او هرگز سیاست نبود، بلکه جلب اعتماد برای کلاهبرداری مالی بود.
در ژوئن ۲۰۲۶، تحلیلگران امنیتی شرکت بزرگ ترند میکرو (Trend Micro) متوجه شدند که محیط کاربری این هکر به اشتباه در اینترنت لو رفته و کل این زنجیره فریب فاش شده است. هکر از سپتامبر ۲۰۲۵ تمام فرآیند تولید محتوای این کانال را به یک سیستم خودکار به نام «وطنپرست کوانتومی» (Quantum Patriot) سپرد که با کدهای پایتون و هوش مصنوعی جیلبریکشده Gemini گوگل کار میکرد.
۲. هک رایگان صنعتی؛ جابهجایی نوبتی ۷۳ کلید دزدیدهشده!
چیزی که این عملیات پدافندی را ترسناک میکند، هزینه نزدیک به صفر آن است. هوش مصنوعی برای تولید محتوای انبوه سازمانی هزینه بالایی دارد، اما این هکر ۷۳ کلید دسترسی (API Key) دزدیدهشده هوش مصنوعی گوگل را در یک سیستم چرخشی گذاشته بود. هوش مصنوعی جِمنای در یک جلسه کاری ۱۶ ساعته، کدی برای هکر نوشت که این کلیدهای دزدیدهشده را به نوبت عوض کند تا سیستم گوگل به رایگان بودن و حجم بالای پیامها شک نکند! هکر بعداً همین ابزار چرخشی را به عنوان یک پروژه کاملاً قانونی و متنباز در سایت گیتهاب منتشر کرد تا ردپای خود را گم کند.
۳. دور زدن اخلاقیات گوگل با یک ترفند ساده
چطور هوش مصنوعی گوگل راضی به همکاری با یک هکر شد؟ هکر به Gemini ابلاغ کرد که من یک «تستکننده قانونی امنیت» (Authorized Pentester) هستم. هوش مصنوعی این دستور را پذیرفت و در فایلی به نام GEMINI.md ذخیره کرد. از آنجا که سیستم جمنای در هر بار اجرای دستورات این فایل حافظه را بازخوانی میکرد، در جلسات بعدی بدون هیچ هشدار اخلاقی یا امتناعی، دستورات هکر (مثل نوشتن پستهای فریبنده یا نوشتن کدهای مخرب) را مو به مو اجرا میکرد.
۴. کلاهبرداری رمزارزی و هک سایتهای اسلحه فروشی و پزشکی
این هکر فقط پست تلگرامی تولید نمیکرد، بلکه با کمک هوش مصنوعی کارهای زیر را انجام میداد:
- کیف پول جعلی رمزارز: او فایلی به نام StellarMonSetup.exe را در کانال منتشر کرد و گفت این یک کیف پول امن همراه با ۱۰۰۰ واحد ارز دیجیتال XLM هدیه است! اما این فایل در واقع یک ابزار دسترسی از راه دور (RAT) بود که کنترل کامل کامپیوتر، کیبورد و ولت واقعی قربانی را به هکر میداد. برای فریب بیشتر، این پیام حتی از یک کانال جعلی به نام دونالد ترامپ بازنشر شده بود!
- حدس پیشرفته رمز عبور(Mutation Oracle): هکر با استفاده از هوش مصنوعی مدل Gemini 2.5 Flash یک ابزار هک ساخت که الگوهای پسورد را حدس میزد (مثلاً سال تولد یا نمادها را به پسوردهای مختلف اضافه میکرد). با این ترفند، او توانست حساب مدیریت ۲۹ سایت وردپرسی بزرگ شامل فروشگاههای اسلحه، دفاتر حقوقی و مراکز پزشکی را هک و تخلیه کند.
🔍 تحلیل اختصاصی امنیت و پدافند سایبری ۲۴ نیوز:
این حادثه یک «نقطه عطف امنیت سایبری» بسیار خطرناک را در لایه جنگ شناختی و اتوماسیون مخرب نشان میدهد. تا پیش از این، کمپینهای نفوذ و تغییر افکار عمومی (Influence Campaigns) نیازمند دپارتمانهای انسانی بزرگ، مترجمان مسلط به زبان مقصد و نویسندگان فعال بود. اما اکنون یک هکر روسزبان که شاید حتی زبان انگلیسی را به خوبی بلد نباشد، با سوءاستفاده از حافظه پایدار و چندزبانگی هوش مصنوعی، خط تولید محتوایی ساخته که لحن یک کهنهسرباز متعصب آمریکایی را با بالاترین ظرافت تقلید میکند.
بزرگترین چالش پدافندی در اینجا، پدیده «موتاسیون یا جهش هوشمند کلمات عبور» توسط هوش مصنوعی است. ابزارهای سنتی هک، کلمات عبور را به صورت کورکورانه تست میکردند (Brute-force) معمولی، اما وقتی هوش مصنوعی در نقش یک مشاور روانشناختی ابزار هک ظاهر میشود، میتواند بر اساس مشخصات هدف، ۲۰ نسخه فوقالعاده محتمل از رمز عبور را تولید کند که این یعنی سیستمهای دفاعی دیگر نمیتوانند به سادگی جلوی این حملات حدس رمز عبور را بگیرند. شرکتهای ارائهدهنده هوش مصنوعی مانند گوگل باید فوراً سیستمهای حفاظتی حافظه (Persistent Memory Guardrails) خود را بازطراحی کنند، چرا که هکرها آموختهاند چگونه با ترفندهای مهندسی پرامپت، هوش مصنوعی را به یک کارمند مطیع در زنجیره جرایم سایبری تبدیل کنند.
جدول شاخصهای آلودگی و ردپای دیجیتال هکر (Indicators of Compromise)
در جدول زیر که توسط تیم تحریریه تخصصی ۲۴ نیوز بازتولید شده است، مشخصات فنی و نشانههای این کمپین هکری برای مسدودسازی توسط مدیران شبکه آمده است:
|
نوع شاخص |
نشانه فنی (Indicator) |
شرح و کاربرد پدافندی |
|
آدرس آیپي |
213.165.51.115 |
اتصال به شبکه زیرساخت مخرب GoToResolve |
|
آدرس آیپي |
34.34.57.141 |
اتصال به شبکه زیرساخت مخرب GoToResolve |
|
آدرس آیپي |
34.34.81.129 |
اتصال به شبکه زیرساخت مخرب GoToResolve |
|
آدرس آیپي |
35.192.41.201 |
اتصال به شبکه زیرساخت مخرب GoToResolve |
|
نام فایل |
StellarMonSetup.exe |
برنامه جعلی کیف پول استلار (حاوی تروجان کنترل از راه دور) |
|
نام فایل |
GEMINI.md |
فایل حافظه حاوی دستورات جیلبریک و فریب هوش مصنوعی گوگل |
|
نام فایل |
CREDENTIALS.md |
فایل محلی هکر برای ذخیره توکنها و حسابهای سرقتی گوگل کلود |
|
نام فایل |
DEPLOYED_TOOLS.md |
فایل کاتالوگ خروجی ابزارها و فرآیندهای اجرا شده هکر |
|
نام فایل |
C2_MIGRATION_GUIDE.md |
راهنمای نوشتهشده توسط Gemini برای انتقال سرور فرماندهی هک |
|
کانال تلگرام |
@americanpatriotus |
کانال اصلی عملیات فریب با حدود ۱۷ هزار عضو |
|
ربات تلگرام |
@QFS_Terminal_Bot |
ربات بازیگونه طراحیشده برای فریب و تخلیه کیف پول کاربران |
نکته امنیتی برای متخصصانSOC: آدرسهای آیپی به دلایل ایمنی در متن اصلی خنثی شده بودند که در جدول بالا برای استفاده در سامانههای SIEM بازسازی شدهاند.
ترجمه و تنظیم فنی: تحریریه تخصصی امنیت ۲۴ نیوز (بهراد یوسفی)
