俄罗斯电视台又被黑客入侵 | Reddit疑似数据泄露 | ChatGPT武器化

作者：FancyPig | 发布时间：2023-06-23 15:52:06 | 更新时间：2023-06-23 16:17:39

视频讲解

欢迎来到每周的黑客新闻，本期我们将分享三件事，第一是俄罗斯电视台又被黑了，这次与众不同的是不同于以往的黑客宣战，而是出现了一个由AI生成的普京演讲，或许是为了制作一种假象或许是为了制造恐慌罢了。第二件事就是最近Reddit论坛，自从为了IPO上市，它们的API调整进行收费，这件事闹得沸沸扬扬的，最近BlackCat黑客组织对其进行勒索，并在洋葱中表达在上次的Reddit论坛入侵中已经提取了80GB的数据，但他们想要的不仅仅是钱，还有要求其取消Reddit API收费政策。最后一件事，就是ChatGPT提供编程建议时产生的幻觉，部分恶意攻击者对照着ChatGPT臆想出来的包名上传恶意文件以投毒……

备用播放线路

图文讲解

大家好，今天的黑客新闻中，俄罗斯电视被一个AI版的普京黑客攻击，

Reddit被黑客勒索，他们想要的不仅仅是钱，

还有一种新的方式ChatGPT被武器化。

这些都将在你的网络安全技术新闻综述中出现。

几天前，俄罗斯电视台被黑客攻击，但不是像我们以前在黑客攻击俄罗斯电视台时看到的那样，播放一般的反战信息，

这次黑客采取了一种更独特和危险的方法，播放了人工智能生成的普京，发表了讲话，好像是某种紧急公告。

深假普京说，俄罗斯本身已被乌克兰入侵，平民应立即疏散到俄罗斯领土深处。AI普京还宣布了戒严令，并对俄罗斯军队进行总动员。电视和广播都被黑了，这一切持续了大约20分钟。虽然表面上看，这个深层假象可能相当逼真，但以俄语为母语的人指出，这真的不是一个顶级的深层假象，头部动作与讲话内容并不完全吻合，只是感觉有点怪异和不自然。但大多数人显然不熟悉如何识别深度造假的微妙之处，而且有报道称，年长的俄罗斯人对此绝对失去理智。

而这更让人相信，因为这特别影响了居住在靠近边境地区的人们的电视和广播电台。

然而，当我们听到电视黑客事件时，往往很难说劫持事件是否真的首先发生，或者只是一些人将自己制作的视频投到自己的电视上，并用手机录制，使其看起来是自发的，然后将视频发布到社交媒体上，只是为了搞笑。我的意思是，在这种情况下，我们拥有的唯一确凿证据是社交媒体上仅有的几段视频。

但我们不必对这一事件挖得太深，因为俄罗斯国家媒体自己证实这确实发生了。塔斯社说，当局知道无线电频率被黑，但该地区的局势完全受到控制。他们还说，普京在一些电视网络上播放的紧急呼吁是黑客行为，基本证实了电视接管确实发生。

俄罗斯广播公司MNP似乎是这里的受害者，但完全没有关于他们如何被黑客攻击的细节，也没有黑客组织承担责任，至少目前没有。这绝不是自战争开始以来俄罗斯电视和电台的第一次被黑。比如说，早在2月，几个电台的导弹警报系统被破坏，导致一个相当不祥的声音告诉人们寻求庇护。

data-postsbox="{"id":33173,"title":"俄罗斯导弹预警系统被黑 | 普京演讲遭DDOS攻击 | GoDaddy被入侵","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2023/02/20230228013844734.png","cover_video":"https://v.pigsec.cn/Russian%20Missile%20Alert%20System%20Hacked_ts.m3u8","views":1745,"comment_count":3,"category":"knowledge","is_forum_post":false}">{"id":33173,"title":"俄罗斯导弹预警系统被黑 | 普京演讲遭DDOS攻击 | GoDaddy被入侵","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2023/02/20230228013844734.png","cover_video":"https://v.pigsec.cn/Russian%20Missile%20Alert%20System%20Hacked_ts.m3u8","views":1745,"comment_count":3,"category":"knowledge","is_forum_post":false}

此外，就在这次最新的黑客攻击之后24小时，据说克里米亚的电视频道被劫持，播放了现在著名的乌克兰反击战预告片《On a Loop》。

但更引人注目的电视黑客攻击都来自伊朗。在过去的1年中，我们有多次蒙面黑客接管了国家电视台，呼吁人们起来反对政府。我将确保在描述中链接我关于这些黑客的视频。

接下来，ALPHV勒索软件集团，

也就是所谓的黑猫，

已经宣布他们黑进了reddit，盗取了80G的数据。但至于赎金要求，这些家伙想要的不仅仅是钱。黑猫在洋葱网站称，他们于2023年2月5日黑进reddit，并拿走了80GB的压缩数据。

因此，实际的黑客攻击发生在4个月前，但为什么黑猫要花这么长时间来承担责任？好在当时reddit承认他们被入侵了。他们说，reddit系统被黑是由于复杂和高度有针对性的网络钓鱼攻击的结果。攻击者发出了听起来很有道理的提示，将员工指向一个克隆我们互联网网关行为的网站，然后窃取证书和2FA令牌。

这一切听起来与2020年著名的twitter漏洞非常相似，当时一个不良行为者从linkedin资料中搜出twitter员工的电话号码，然后与他们联系，假装是twitter的高级员工，然后将他们指向一个虚假的twitter内部登录页面，黑客在那里窃取他们的信条，然后发起有史以来最大的加密货币骗局。在这种情况下，可能也采用了类似的策略。但幸运的是，reddit在被钓鱼后不久，受影响的员工就自我报告了，而reddit的安全团队很快锁定了入侵者。

但在此之前，黑客能够获得对内部文件、代码以及一些内部仪表盘和业务系统的访问。他们还窃取了公司联系人和员工的联系信息，但没有任何迹象表明reddit的用户数据被泄露，或者我们被告知。

但公平地说，reddit对黑客事件的处理已经很好了，而且没有像我们有时看到的其他公司那样，对数据泄露的反应有争议。但这并不是说没有未解答的问题，因为我们不知道谁是数据泄露的幕后黑手。没有数据转储出现在黑帽论坛上，也没有勒索软件团伙承担责任。

直到几天前，黑猫团伙在他们的洋葱网站上发表了一篇名为reddit文件的帖子。黑猫解释说，他们之所以一直保持这次入侵的沉默，是因为他们在等待reddit的IPO出现。

如果你不知道，reddit计划在今年下半年上市，这将是任何想要对Reddit造成严重声誉损害的人的绝佳机会，因为投资者试图弄清楚reddit股票到底值多少钱。

但黑猫显然没有等到那个IPO，而是说这似乎是个完美的机会。他们当然是指Reddit最近的API价格涨价事件，这将会淘汰大量的第三方应用程序。现在，黑客想要从Reddit那里得到的不仅是微不足道的450万美元，作为删除数据的代价还想让Reddit撤回他们的API价格改变。

要么黑客也使用Apollo并像其他人一样生气，要么更有可能是因为Reddit的CEO拒绝了他们的小财富，他们只是为了乐子而这么做。黑客们承认，他们真的只是不期望reddit付钱，而是期望泄露数据。

至于这些数据将揭示什么，黑猫说它将显示所有的统计数据，reddit跟踪他们的用户，以及reddit默默地审查用户的事实。这在现实中意味着什么，我们将不得不拭目以待。

这可能类似于2020年的twitter黑客事件，其中泄露的截图显示twitter存在影子禁言工具，但同样有可能的是，黑猫只是在炒作一次泄密事件，完全没有意义的数据泄露，除了其他网络犯罪分子会通过搜索这些泄露的员工联系详细信息，来进行更多的网络攻击。接下来，黑客们找到了另一种将ChatGPT武器化的方法。它利用了ChatGPT倾向于产生幻觉的东西。人工智能的幻觉是一个相当新的现象，这实际上是一个人工智能聊天机器人编造东西的花哨术语。

例如，你让ChatGPT对一个网页进行总结，它就会这么做。只是ChatGPT没有互联网接入，所以它不可能知道链接后面有什么。看起来很有道理、很有说服力的摘要，实际上只是从URL的线索中得出的，这篇文章可能是关于什么的。

ChatGPT并不是要误导你，而是它的训练数据已经被拉长了，因此你会产生幻觉。这不是ChatGPT的特定问题，似乎所有大型语言模型都有类似的问题。这被认为是谷歌在AI聊天机器人方面非常谨慎和迟到的原因之一。例如，实际上有人对OpenAI发起了诽谤诉讼，

因为当一名记者要求ChatGPT总结法庭文件时，它幻化出一堆关于他的指控，并指控他贪污金钱。

而现在，网络安全公司Vulkan的新研究表明，黑客如何滥用ChatGPT对代码的幻觉倾向，特别是软件包名称。就像，ChatGPT经常会建议那些从未存在过的软件包，或者那些确实存在的软件包，只是在2021年9月ChatGPT的训练数据截止之前。

想法是，攻击者可以识别常见的软件包的幻觉，并创建这些软件包的恶意版本，

因此，当受害者使用它们时，他们最终不知不觉地将恶意代码纳入他们的项目。黑客的这种机会是由以下事实创造的：一些开发人员现在更愿意从ChatGPT而不是像stackoverflow这样的地方获得他们的编程解决方案。虽然stackoverflow有评论和加注的社会证明，作为一个相当好的指标，证明分享的代码不是恶意的，但ChatGPT并没有提供任何接近相同的信任水平。研究人员展示了幻觉可以被武器化的一种方式。首先，他们从Stackoverflow上搜罗了大量关于各种主题的常见编程问题。然后，他们通过API向ChatGPT询问他们收集的所有问题。因为当然，没有不良行为者会坐在那里将问题复制粘贴到用户界面中，这将全部通过API自动完成。当然，要做到这一点，攻击者需要一个API密钥。但这些东西并不是很难得到的。我的意思是，目前有一种泄露openai密钥的流行病数以万计的密钥通过github等公共代码库被泄露出来。一旦研究人员有了一个软件包名称的列表，他们就把它们与开放源码软件包注册表进行交叉引用，确定那些不存在的软件包。然后他们让这些软件包存在，但使用恶意代码。比如这个arangodb，它纯粹是一个ChatGPT的幻觉。如果有人通过ChatGPT向他们推荐这个软件包，然后去安装它，他们最终会在不知情的情况下把自己的电脑开了后门。这种被称为AI包幻觉的攻击方法是否会成为种实际的东西，还有待观察。