Palisade Research llevó a cabo un experimento que permitió vislumbrar el mundo de los ataques de piratería automatizados. Utilizaron un cebo especial: una «trampa inteligente» que no sólo puede atraer a los ciberatacantes, sino también identificar entre ellos sistemas basados ​​en inteligencia artificial.

El elemento clave del experimento es una versión SSH deliberadamente vulnerable colocada en el dominio público. Los investigadores vincularon diez direcciones IP a la vez, para así aumentar las posibilidades de ser atacados por piratas informáticos que rastrean Internet en busca de objetivos potenciales.

Para atraer la atención de los atacantes, el equipo utilizó una técnica astuta: el sistema envió pings a dominios que imitaban importantes recursos gubernamentales. Por ejemplo, el tráfico se generó hacia el dominio gov-defense-dev.il, que superficialmente se parecía a la dirección del departamento de defensa israelí. Además, la trampa fue indexada deliberadamente en Shodan y Censys, motores de búsqueda populares entre los piratas informáticos.

Durante el funcionamiento del sistema experimental se registraron más de 813 mil intentos de interactuar con él. Para distinguir las acciones de los piratas informáticos reales de los sistemas automatizados, se introdujeron activadores especiales en la versión SSH: comandos ocultos que pueden provocar una reacción característica de la inteligencia artificial.

Estos activadores se colocaron en diferentes lugares: en mensajes de bienvenida al establecer una conexión SSH, en comandos populares para acceder al sistema e incluso en archivos del sistema que los piratas informáticos suelen estudiar después de la infiltración.

Los investigadores utilizaron dos técnicas principales. La primera es la sustitución de objetivos, cuando intentan redirigir el comportamiento del sistema hacia una nueva tarea. El segundo es el “robo rápido”, un intento de obligar al modelo de lenguaje a revelar sus instrucciones originales.

Ambos métodos mostraron una alta eficiencia. Como resultado, fue posible identificar hasta seis tipos diferentes de herramientas de piratería basadas en modelos de lenguaje que atacaron el honeypot.

Según los autores del trabajo, los resultados obtenidos son sólo la punta del iceberg. A medida que avance la tecnología, cada vez más ciberdelincuentes automatizarán sus ataques utilizando sistemas de inteligencia artificial. En este sentido, se decidió no detener el experimento. El sistema seguirá funcionando, recopilando nuevos datos sobre los métodos y herramientas de los atacantes.