Ukrainan kyberturvallisuuskeskus varoittaa kertomalla tekemästään uudesta havainnosta. Venäjän sotilastiedustelun verkkovakoilukampanja hyödyntää natiivisti suurten kielimallien (LLM) ominaisuuksia.
Lamehug-niminen haittaohjelmisto on ensimmäinen dokumentoitu esimerkki valtiollisesta pahantekijästä, joka on tunnistettu Venäjään kytköksissä olevan APT28-verkkovakoilukampanjan kädenjäljeksi. Siihen on rakennettu sisään kyky hyödyntää suuria kielimalleja, joiden avulla se pystyy lennosta automatisoimaan ja tehostamaan hyökkäyksiään.
Asia tuli ilmi heinäkuun alussa, kun Ukrainan hallituksen virkamiehiin kohdistetun vakoilukampanjan huomattiin käyttävän pakattuja tiedostoja, jotka hyödynsivät Pyinstaller-ohjelmalla rakennettuja python-ohjelmointikielen komentoja. Kun kampanja kärähti ja sen hyökkäysvektoreina toimineita liitetiedostoja tutkittiin, kävi ilmi että ohjelmisto oli koodattu ottamaan yhteyttä Alibaban pilvessä toimivaan kaupalliseen tekoälyn kielimalliin erään rajapinnan kautta. Näin vakoilukampanja pystyi opettamaan itseään toimimaan tapauskohtaisesti tehokkaammin hakemalla tekoälyltä lisää ohjeita.
Ukrainan kyberturvallisuuskeskus löysi viitteitä siitä, että vakoiluohjelmiston käytössä oli prompteja eli kehotteita, joilla se haki tarkkoja teknisiä tietoja uhrin käyttöjärjestelmästä, kopioi laitteella olevia tiedostoja ja siirsi varastamaansa dataa eteenpäin. Toteutus oli sinänsä varsin yksinkertainen, eikä lamehugilla havaittu olevan käytössään mitään menetelmiä joilla pyrkiä piilottamaan itsensä käyttäjän koneelle päästyään.
Haittaohjelmaa myöskin tutkinut Cato Networks teki tästä yksinkertaisuudesta päätelmän, että Venäjän sotilastiedustelun rakentama uusi vakoiluohjelmisto tekoälyintegraatioineen on vasta kehitys- ja testausvaiheessa. Tätä johtopäätöstä tukee se, että Venäjä on aiemminkin toistuvasti koeajanut uusia kyberkykyjään nimenomaan Ukrainan haitaksi.
APT28 on yleisnimitys Venäjän sotilastiedustelu GRU:n yksikkö 26165:n kehittämille ja käyttämille työkaluille ja pahanteolle. Yleisemmän vakoilun lisäksi yksikkö on osallistunut myös sabotaasiin, joista tunnetuin esimerkki on kenties tietojen varastaminen ja vuotaminen Yhdysvaltojen presidentinvaalien sotkemiseksi kesällä 2016.
