Natiestaatactoren geassocieerd met Rusland, Noord-Korea, Iran en China experimenteren met kunstmatige intelligentie (AI) en grote taalmodellen (LLM’s) als aanvulling op hun lopende cyberaanvaloperaties.
De bevindingen komen uit een rapport gepubliceerd door Microsoft in samenwerking met OpenAI, waarin beide zeiden dat ze de inspanningen verstoorden van vijf aan de staat gelieerde actoren die hun AI-diensten gebruikten om kwaadaardige cyberactiviteiten uit te voeren door hun activa en accounts te beëindigen.
“Taalondersteuning is een natuurlijk kenmerk van LLM’s en is aantrekkelijk voor bedreigingsactoren met voortdurende focus op social engineering en andere technieken die vertrouwen op valse, bedrieglijke communicatie die is afgestemd op de banen, professionele netwerken en andere relaties van hun doelwitten”, aldus Microsoft in een rapport gedeeld met The Hacker News.
Hoewel er tot nu toe geen significante of nieuwe aanvallen zijn gedetecteerd waarbij gebruik wordt gemaakt van de LLM’s, heeft de vijandige verkenning van AI-technologieën verschillende fasen van de aanvalsketen overstegen, zoals verkenning, hulp bij het coderen en de ontwikkeling van malware.
“Deze actoren probeerden over het algemeen OpenAI-diensten te gebruiken voor het opvragen van open-source-informatie, het vertalen, het vinden van codeerfouten en het uitvoeren van elementaire codeertaken”, aldus het AI-bedrijf.
Zo zou de Russische natiestaatgroep, gevolgd als Forest Blizzard (ook bekend als APT28), zijn aanbod hebben gebruikt om open-source onderzoek uit te voeren naar satellietcommunicatieprotocollen en radarbeeldtechnologie, en ook voor ondersteuning bij scripttaken.
Enkele van de andere opmerkelijke hackploegen staan hieronder vermeld:
- Emerald Sleet (ook bekend als Kimusky), een Noord-Koreaanse dreigingsacteur, heeft LLM’s gebruikt om experts, denktanks en organisaties te identificeren die zich richten op defensiekwesties in de regio Azië-Pacific, om publiekelijk beschikbare tekortkomingen te begrijpen, te helpen met basisscripttaken en om inhoud op te stellen die gebruikt kunnen worden in phishing-campagnes.
- Crimson Sandstorm (ook bekend als Imperial Kitten), een Iraanse bedreigingsacteur die LLM’s heeft gebruikt om codefragmenten te maken met betrekking tot app- en webontwikkeling, phishing-e-mails te genereren en veelvoorkomende manieren te onderzoeken waarop malware detectie kan omzeilen
- Charcoal Typhoon (ook bekend als Aquatic Panda), een Chinese bedreigingsacteur die LLM’s heeft gebruikt om onderzoek te doen naar verschillende bedrijven en kwetsbaarheden, scripts te genereren, inhoud te creëren die waarschijnlijk kan worden gebruikt in phishing-campagnes en technieken te identificeren voor post-compromisgedrag
- Salmon Typhoon (ook bekend als Maverick Panda), een Chinese bedreigingsacteur die LLM’s gebruikte om technische documenten te vertalen, openbaar beschikbare informatie over meerdere inlichtingendiensten en regionale bedreigingsactoren op te halen, codeerfouten op te lossen en verbergtactieken te vinden om detectie te omzeilen
Microsoft zei dat het ook een reeks principes formuleert om de risico’s van het kwaadaardige gebruik van AI-tools en API’s door geavanceerde aanhoudende bedreigingen (APT’s), geavanceerde persistente manipulatoren (APM’s) en cybercriminele syndicaten te beperken en effectieve vangrails en veiligheid te bedenken. mechanismen rond zijn modellen.
“Deze principes omvatten identificatie en actie tegen het gebruik van kwaadwillende actoren, kennisgeving aan andere AI-dienstverleners, samenwerking met andere belanghebbenden en transparantie”, aldus Redmond.
