به تازگی، اقدام قضایی علیه پلتفرم بدافزاری DanaBot، که بهعنوان یک سرویس بدافزاری روسی شناخته میشود و مسئول آلودهسازی بیش از 300,000 سیستم و تحمیل خساراتی بالغ بر 50 میلیون دلار بوده است، بهطرز چشمگیری توجهات را به سمت نحوه تغییر عملیاتهای سایبری توسط هوش مصنوعی معطوف کرده است. طبق گزارشی از Lumen Technologies، DanaBot بهطور میانگین روزانه 150 سرور فرمان و کنترل فعال داشته و روزانه حدود 1000 قربانی در بیش از 40 کشور را مورد هدف قرار میداده است.
وزارت دادگستری ایالات متحده هفته گذشته برای 16 متهم در مورد DanaBot، عملیات بدافزاری بهعنوان یک خدمت (MaaS) در لس آنجلس اعلام جرم کرد. این عملیات بهخاطر طراحی و اجرای طرحهای گسترده تقلب و حملات باجافزاری و ایجاد خسارات مالی کلان به قربانیان، مورد توجه قرار گرفته است. DanaBot نخستینبار در سال 2018 بهعنوان یک تروجان بانکی ظاهر شد، اما به سرعت به یک ابزار چندمنظوره برای جرایم سایبری تبدیل گردید که قادر به انجام حملات باجافزاری، جاسوسی و حملات از نوع لغو سرویس توزیع شده (DDoS) بود.
این ابزار از آنجایی که توانایی انجام حملات دقیق بر زیرساختهای حیاتی را دارد، به یکی از انتخابهای محبوب مخالفان دولتی روسیه تبدیل شده است؛ بهخصوص در عملیات سایبری علیه تأسیسات برق و آب اوکراین. همچنین زیرشبکههای DanaBot بهطور مستقیم با فعالیتهای اطلاعاتی روسیه مرتبط هستند که مرزهای بین جرایم سایبری انگیزه مالی و جاسوسی دولتی را بهخوبی نشان میدهد.
عملیات DanaBot تحت نام SCULLY SPIDER با کمترین فشار داخلی از سوی مقامات روسیه ادامه یافته است، که این خود باعث تقویت شایعات مبنی بر این میشود که کرملین ممکن است فعالیتهای آن را تحمل کرده یا از آن بهعنوان یک پروکسی سایبری استفاده کرده باشد. زیرساخت عملیاتی DanaBot شامل لایههای پیچیده و پویا از باتها، پروکسیها، بارگذارها و سرورهای فرمان و کنترل بوده که تحلیل دستی آنها را غیرممکن میسازد.
هوش مصنوعی فعال نقش اصلی را در از بین بردن DanaBot ایفا کرده است؛ این سیستم به تحلیل تهدیدهای پیشبینیشده، همبستگی دادههای زمان واقعی، تحلیل زیرساخت و تشخیص خودکار ناهنجاریها پرداخته است. این قابلیتها نتیجه سالها تحقیق و توسعه و سرمایهگذاری در مهندسی توسط ارائهدهندگان پیشرو امنیت سایبری است که به تدریج از رویکردهای مبتنی بر قوانین ایستا به سیستمهای دفاعی کاملاً خودکار پیشرفتهاند.
تخریب DanaBot ارزش هوش مصنوعی فعال را برای تیمهای مراکز عملیات امنیتی (SOC) با کاهش ماهها تحلیلهای دستی به چند هفته تأیید کرد. این زمان اضافی به مقامات امکان داد تا به سرعت ردپای دیجیتال وسیع DanaBot را شناسایی و از بین ببرند.
عملیات DanaBot نشاندهنده تغییرات عمده در استفاده از هوش مصنوعی فعال در SOCها است، جایی که تحلیلگران SOC سرانجام ابزارهای لازم را برای تشخیص، تحلیل و پاسخگویی به تهدیدات بهطور مستقل و در مقیاس وسیع دریافت کردهاند. این فرآیند به آنها امکان میدهد تا قدرت بالاتری را در جنگ علیه هوش مصنوعی متخاصم بدست آورند.
تحلیلهای انجامشده بهوسیلهی Lumen’s Black Lotus Labs نشاندهنده سرعت و دقت مرگبار هوش مصنوعی متخاصم است. DanaBot با بیش از 150 سرور فعال روزانه، حدود 1000 قربانی در روز در بیش از 40 کشور، از جمله ایالات متحده و مکزیک را هدف قرار داده و توانسته است بهراحتی از ابزارهای دفاعی سنتی فرار کند.
هوش مصنوعی فعال، بهطور مستقیم به چالشهای قدیمی صنعت امنیت سایبری پاسخ میدهد؛ با کاهش خستگی ناشی از آلارمها و تحلیلهای دستی، سیستمهای امنیتی میتوانند بهطور مؤثرتری به تهدیدات پاسخ دهند. این سیستمها شامل Cisco Security Cloud، CrowdStrike Falcon و Google Chronicle Security Operations هستند.
این تحول، نیاز به رویکرد هوش مصنوعی در SOCها را به شدت محسوس میکند و برای رقابت با تهدیدات سایبری، به الزام وجود سیستمهایی با سرعت کارآمد و قابلیت تطبیق سریع با تهدیدات جدیدی که هر روز بروز مییابند، تأکید میکند.