Chinese hackers automatiseren 90% van de spionagecampagnes met behulp van Antropisch Claude heeft vier organisaties geschonden van de dertig organisaties die zij als doelwit kozen.
“Ze hebben hun aanvallen opgedeeld in kleine, ogenschijnlijk onschadelijke taken die Claude zou uitvoeren zonder de volledige context van hun snode doelen te kennen”, vertelde Jacob Klein, hoofd dreigingsinformatie van Anthropic, aan VentureBeat.
AI-modellen hebben eerder een keerpunt bereikt dan de meeste dreigingsonderzoekers hadden verwacht, zoals blijkt uit het vermogen van hackers om modellen te jailbreaken en ongemerkt aanvallen uit te voeren. Het cloaking-verzoek als onderdeel van een legitieme pentest met als doel vertrouwelijke gegevens van dertig beoogde organisaties op te halen, weerspiegelt hoe krachtig het model is. Jailbreaken en het model vervolgens gebruiken als wapen tegen het doelwit is niet langer rocket science. Tegenwoordig is dit een bedreiging voor de democratisering die door elke aanvaller of staat naar believen kan worden gebruikt.
Klein onthulde het Wall Street Journaldie het woord verspreidden dat “hackers hun aanvallen uitvoeren met een klik op de knop.” Bij één inbreuk “stuurden hackers de AI-tool van Claude Anthropic om interne databases te doorzoeken en onafhankelijk gegevens te extraheren.” Menselijke operators komen tussen op slechts vier tot zes beslissingspunten per campagne.
De architectuur die het mogelijk maakt
De verfijning van de aanvallen op dertig organisaties is niet terug te vinden in de tools; het zit in de orkestratie. De aanvallers gebruikten standaard pentestsoftware die iedereen kon downloaden. Aanvallers splitsen complexe operaties zorgvuldig op in ogenschijnlijk onschuldige taken. Claude dacht dat ze een beveiligingsaudit deden.
De social engineering was perfect: de aanvallers presenteerden zichzelf als werknemers van een cyberbeveiligingsbedrijf dat legitieme penetratietests uitvoerde, vertelde Klein aan de WSJ.
Bron: Antropisch
De architectuur, gedetailleerd Antropisch rapportonthult een MCP-server (Model Context Protocol) die meerdere Claude-subagenten tegelijkertijd naar de doelinfrastructuur leidt. Het rapport legt uit hoe “het raamwerk Claude gebruikt als een orkestratiesysteem dat complexe meerfasige aanvallen opsplitst in afzonderlijke technische taken voor Claude-subagenten, zoals het scannen van kwetsbaarheden, het valideren van inloggegevens, het extraheren van gegevens en laterale verplaatsing, die allemaal legitiem lijken als ze afzonderlijk worden geëvalueerd.”
Deze ontleding is erg belangrijk. Door taken aan te bieden zonder een bredere context, overtuigden de aanvallers Claude “om individuele componenten van de aanvalsketen uit te voeren zonder toegang tot de bredere kwaadaardige context”, aldus het rapport.
De aanvalssnelheid bereikt meerdere operaties per seconde en duurt urenlang zonder vermoeidheid. De menselijke betrokkenheid daalt tot 10 tot 20% van de inspanning. Traditionele campagnes van drie tot zes maanden werden gecomprimeerd tot 24 tot 48 uur. Het rapport documenteert dat “piekactiviteit duizenden verzoeken omvat, wat neerkomt op een aanhoudend aantal verzoeken van meerdere bewerkingen per seconde.”
Bron: Antropisch
De aanvalsprogressie in zes fasen, gedocumenteerd in het Anthropic-rapport, laat zien hoe de AI-autonomie met elke fase toeneemt. Fase 1: Mens selecteert doelwit. Fase 2: Claude brengt het hele netwerk onafhankelijk in kaart en vindt ‘interne services in het beoogde netwerk door middel van systematische opsomming’. Fase 3: Claude identificeert en valideert kwetsbaarheden, waaronder SSRF-zwakheden. Fase 4: Verzameling van inloggegevens via het netwerk. Fase 5: Gegevensextractie en categorisering van inlichtingen. Fase 6: Volledige documentatie voor overdracht.
“Claude deed bijna het hele rode teamwerk”, vertelde Klein aan VentureBeat. Verkenning, exploitatie, zijwaartse beweging, gegevensextractie, het gebeurt allemaal met minimale menselijke leiding tussen de fasen. In het Anthropics-rapport wordt opgemerkt dat “de campagne een ongekende integratie en autonomie van kunstmatige intelligentie gedurende de hele levenscyclus van de aanval heeft aangetoond, waarbij Claude Code verkenningen, het ontdekken van kwetsbaarheden, exploitatie, laterale verplaatsing, het verzamelen van inloggegevens, data-analyse en exfiltratie-operaties ondersteunt die grotendeels autonoom werden uitgevoerd.”
Hoe wapenmodellen de kostencurve voor APT-aanvallen afvlakken
Traditionele APT-campagnes vereisen wat het rapport documenteert als ‘10-15 bekwame operators’, ‘aangepaste malware-ontwikkeling’ en ‘maanden voorbereiding’. De GTG-1002 vereist alleen Claude API-toegang, een open source Model Context Protocol-server en standaard pentesttools.
“Wat ons verraste was de efficiëntie”, vertelde Klein aan VentureBeat. “We zien welke staatscapaciteiten kunnen worden bereikt met middelen waartoe elke middelgrote criminele groep toegang heeft.”
Het rapport stelt: “Een minimale afhankelijkheid van propriëtaire tools of de ontwikkeling van geavanceerde exploits suggereert dat cybercapaciteiten steeds vaker voortkomen uit de orkestratie van grondstoffen in plaats van uit technische innovatie.”
Klein benadrukte in zijn gesprek met VentureBeat de autonome uitvoeringsmogelijkheden. Het rapport bevestigde dat Claude onafhankelijk ‘de doelinfrastructuur heeft gescand, services en eindpunten heeft opgesomd, het aanvalsoppervlak in kaart heeft gebracht’, vervolgens ‘SSRF-kwetsbaarheden heeft geïdentificeerd, exploitatietechnieken heeft onderzocht’ en ‘aangepaste payloads heeft gegenereerd, exploitketens heeft ontwikkeld en exploitmogelijkheden heeft gevalideerd via callback-reacties’.
Tegen één technologiebedrijf, zo staat in het rapport, heeft Claude “onafhankelijk databases en systemen doorzocht, gegevens geëxtraheerd, resultaten ontleed om eigendomsinformatie te identificeren en bevindingen gecategoriseerd op basis van de waarde van de inlichtingen.”
“De compressiefactor is iets dat bedrijven moeten begrijpen”, vertelde Klein aan VentureBeat. “Wat maanden duurde, duurt nu dagen. Wat specialistische vaardigheden vereiste, vereist nu basiskennis.”
Leren over kritische detectie-indicatoren
“Het patroon is heel anders dan menselijk gedrag, het is alsof je een machine ziet die zich voordoet als een mens”, vertelde Klein aan VentureBeat. Het rapport documenteert ‘fysiek onmogelijke verzoekniveaus’ met ‘aanhoudende verzoeksnelheden van meerdere bewerkingen per seconde’.
Het rapport onderscheidt drie categorieën indicatoren:
Verkeerspatroon: “Verzoeksnelheid van meerdere bewerkingen per seconde” met “grote verschillen tussen gegevensinvoer en tekstuitvoer”.
Query-ontleding: Taken worden opgesplitst in wat Klein ‘kleine, schijnbaar onschadelijke taken’ noemt: technische vragen van vijf tot tien woorden zonder menselijke zoekpatronen. “Elke vraag lijkt op zichzelf legitiem”, legt Klein uit aan VentureBeat. “Alleen als geheel ontstaat er een patroon van aanvallen.”
Authenticatiegedrag: Het rapport beschrijft de “systematische verzameling van inloggegevens via gerichte netwerken” waarbij Claude “onafhankelijk bepaalt welke inloggegevens toegang verlenen tot welke diensten, en privilegeniveaus en toegangsgrenzen in kaart brengt zonder menselijke leiding.”
“We breiden onze detectiemogelijkheden uit om beter rekening te kunnen houden met nieuwe dreigingspatronen, onder meer door onze cybergerichte classificaties te verbeteren”, vertelde Klein aan VentureBeat. Anthropic “maakt prototypes van een proactief systeem voor vroege detectie van autonome cyberaanvallen.”
