O NullBulge é um grupo hacker que surgiu no início de 2024, com foco em atacar aplicativos e jogos que utilizam inteligência artificial (IA). No dia 12 de julho, eles afirmaram ter roubado e vazado mais de um terabyte de dados de conversas internas da Disney no Slack. Recentemente, a empresa de segurança cibernética SentinelOne divulgou um relatório explicando as técnicas e métodos que o NullBulge usa.
NullBulge: Hackers com Motivações Financeiras?
Segundo a SentinelOne, o NullBulge apareceu entre abril e junho de 2024 e tem sido ativo em redes sociais como X (antigo Twitter) e 4chan. O grupo se apresenta como “hacktivista”, afirmando que defende os direitos de artistas contra o uso da IA. Apesar de dizerem que não estão em busca de dinheiro, algumas de suas ações sugerem o contrário. Ilia Kolochenko, CEO da ImmuniWeb, acredita que o ataque à Disney tem uma motivação financeira. Ele explica que é improvável que um grupo hacktivista organize uma invasão tão grande apenas para proteger direitos autorais. Segundo ele, é possível que o objetivo seja extorquir a Disney, semelhante ao que aconteceu no famoso ataque à Sony. Além disso, Kolochenko sugere que o ataque pode ter sido motivado por tentativas de censurar certos filmes ou ideias da Disney, tornando o ato mais político do que moral.
Sites de Vazamento Ativos
O NullBulge possui diversos sites onde divulga dados vazados. Os primeiros dois sites surgiram em maio de 2024, e outros domínios foram ativados e atualizados em julho de 2024. Além disso, o grupo já foi visto vendendo dados roubados e chaves de API da OpenAI em fóruns clandestinos, o que levanta dúvidas sobre suas reais intenções de “proteger artistas”. Há relatos de que o grupo seja russo, mas essa informação foi contestada por especialistas da Secureworks, que acreditam que os membros do NullBulge podem ser falantes de inglês e alegam ser russos para parecer fora do alcance da lei ocidental.
Ataques à Cadeia de Suprimentos de IA no GitHub e Hugging Face
Entre maio e junho de 2024, o NullBulge realizou vários ataques mirando a cadeia de suprimentos de ferramentas de IA, principalmente em plataformas como GitHub e Hugging Face. O grupo comprometia repositórios de código público e distribuía versões alteradas de bibliotecas usadas por desenvolvedores, inserindo códigos maliciosos que eram instalados nas máquinas das vítimas. Esses ataques focaram principalmente em comunidades de jogos e aplicativos que utilizam IA, como mods de software e pacotes de desenvolvimento.
Um Grupo Menos Habilidoso Usando Ferramentas Conhecidas
O NullBulge oferece “serviços” em seus sites, como vingança contra alvos usando armadilhas e mods maliciosos. Eles se concentram em modificar aplicativos populares que usam IA, entregando diversos tipos de malware. Para esses ataques, o grupo usa ferramentas como Async RAT e Xworm, além de variantes do ransomware LockBit. Embora o grupo use técnicas e malwares conhecidos, especialistas da Secureworks acreditam que o NullBulge não faz parte de uma grande organização de ransomware, como o LockBit. Em vez disso, eles parecem operar de forma independente, usando ferramentas de fácil acesso. O uso dessas ferramentas comuns sugere que o NullBulge é um grupo com habilidade técnica limitada, mas que conseguiu causar um impacto significativo, especialmente ao atingir grandes empresas como a Disney.
