OpenAI meldde vrijdag dat het een aantal accounts heeft geblokkeerd die verband houden met een geheime Iraanse beïnvloedingsoperatie die ChatGPT gebruikte om content te genereren die onder andere gericht was op de aanstaande Amerikaanse presidentsverkiezingen.
“Deze week hebben we een groep ChatGPT-accounts geïdentificeerd en offline gehaald die content genereerden voor een geheime Iraanse beïnvloedingsoperatie die bekendstaat als Storm-2035”, aldus OpenAI.
“Bij de operatie werd ChatGPT gebruikt om content te genereren die zich richtte op een aantal onderwerpen, waaronder commentaar op kandidaten aan beide kanten van de Amerikaanse presidentsverkiezingen. Deze content werd vervolgens gedeeld via sociale media-accounts en websites.”
Het bedrijf voor kunstmatige intelligentie (AI) zei dat de content geen zinvolle betrokkenheid opleverde, waarbij de meeste posts op sociale media verwaarloosbaar tot geen likes, shares en comments kregen. Het merkte verder op dat het weinig bewijs had gevonden dat de lange artikelen die met ChatGPT waren gemaakt, op sociale mediaplatforms werden gedeeld.
De artikelen gingen over de Amerikaanse politiek en wereldwijde gebeurtenissen en werden gepubliceerd op vijf verschillende websites die zich voordeden als progressieve en conservatieve nieuwsbronnen. Dit duidt erop dat er geprobeerd werd om mensen aan tegenovergestelde kanten van het politieke spectrum te bereiken.
OpenAI zei dat zijn ChatGPT-tool werd gebruikt om opmerkingen in het Engels en Spaans te maken, die vervolgens werden geplaatst op een dozijn accounts op X en één op Instagram. Sommige van deze opmerkingen werden gegenereerd door zijn AI-modellen te vragen om opmerkingen van andere gebruikers van sociale media te herschrijven.
“De operatie genereerde content over verschillende onderwerpen: voornamelijk het conflict in Gaza, de aanwezigheid van Israël bij de Olympische Spelen en de Amerikaanse presidentsverkiezingen, en in mindere mate politiek in Venezuela, de rechten van Latijns-Amerikaanse gemeenschappen in de VS (zowel in het Spaans als in het Engels) en de Schotse onafhankelijkheid”, aldus OpenAI.
“Ze wisselden hun politieke inhoud af met opmerkingen over mode en schoonheid, mogelijk om authentieker over te komen of in een poging om een aanhang op te bouwen.”
Storm-2035 was ook een van de clusters van dreigingsactiviteiten die vorige week door Microsoft werden benadrukt. Microsoft beschreef het als een Iraans netwerk dat “actief Amerikaanse kiezersgroepen aan de tegenovergestelde uiteinden van het politieke spectrum benadert met polariserende boodschappen over kwesties als de Amerikaanse presidentskandidaten, LGBTQ-rechten en het conflict tussen Israël en Hamas.”
Enkele van de nepnieuws- en commentaarsites die door de groep zijn opgezet, zijn EvenPolitics, Nio Thinker, Savannah Time, Teorator en Westland Sun. Deze sites zijn ook waargenomen bij het gebruik van AI-enabled services om een fractie van hun content uit Amerikaanse publicaties te plagiëren. De groep zou vanaf 2020 operationeel zijn.
Microsoft heeft verder gewaarschuwd voor een toename van kwaadaardige buitenlandse beïnvloedingsactiviteiten die gericht zijn op de Amerikaanse verkiezingen in de afgelopen zes maanden. Deze activiteiten vinden plaats vanuit zowel Iraanse als Russische netwerken. De laatste zijn terug te voeren op clusters als Ruza Flood (ook bekend als Doppelganger), Storm-1516 en Storm-1841 (ook bekend als Rybar).
“Doppelganger verspreidt en versterkt gefabriceerde, neppe of zelfs legitieme informatie via sociale netwerken”, aldus het Franse cybersecuritybedrijf HarfangLab. “Om dit te doen, plaatsen accounts van sociale netwerken links die een verduisterde keten van omleidingen initiëren die leiden naar websites met uiteindelijke content.”
Er zijn echter aanwijzingen dat het propagandanetwerk zijn tactieken aanpast als reactie op agressieve handhaving. Volgens Meta wordt er steeds vaker gebruikgemaakt van niet-politieke berichten en advertenties en worden niet-politieke nieuwsbronnen en entertainmentnieuwskanalen zoals Cosmopolitan, The New Yorker en Entertainment Weekly geparodieerd. Dit alles om detectie te voorkomen.
De berichten bevatten links die, wanneer erop wordt getikt, gebruikers doorverwijzen naar een artikel over de Russische oorlog of geopolitiek op een van de namaakdomeinen die entertainment- of gezondheidspublicaties nabootsen. De advertenties worden gemaakt met behulp van gecompromitteerde accounts.
Het socialemediabedrijf, dat sinds 2017 39 beïnvloedingsoperaties vanuit Rusland, 30 vanuit Iran en 11 vanuit China op zijn platforms heeft verstoord, zei dat het in het tweede kwartaal van 2024 zes nieuwe netwerken uit Rusland (4), Vietnam (1) en de VS (1) heeft ontdekt.
“Sinds mei hervatte Doppelganger zijn pogingen om links naar zijn domeinen te delen, maar in een veel lager tempo,” zei Meta. “We hebben ze ook zien experimenteren met meerdere redirect hops, waaronder TinyURL’s link-shortening service om de uiteindelijke bestemming achter de links te verbergen en zowel Meta als onze gebruikers te misleiden in een poging om detectie te voorkomen en mensen naar hun off-platform websites te leiden.”
Deze ontwikkeling volgt op een bericht van de Threat Analysis Group (TAG) van Google deze week dat het spear-phishingpogingen met Iraanse steun heeft gedetecteerd en verstoord. Deze pogingen waren gericht op het hacken van persoonlijke accounts van bekende gebruikers in Israël en de VS, waaronder accounts van gebruikers die betrokken zijn bij de Amerikaanse presidentscampagnes.
De activiteit is toegeschreven aan een dreigingsactor met de codenaam APT42, een door de staat gesponsorde hackersploeg die verbonden is aan de Islamitische Revolutionaire Garde van Iran (IRGC). Het is bekend dat het overlapt met een andere intrusiegroep die bekend staat als Charming Kitten (ook bekend als Mint Sandstorm).
“APT42 gebruikt verschillende tactieken als onderdeel van hun e-mailphishingcampagnes, waaronder het hosten van malware, phishingpagina’s en kwaadaardige omleidingen”, aldus de techgigant. “Ze proberen over het algemeen diensten als Google (d.w.z. Sites, Drive, Gmail en anderen), Dropbox, OneDrive en anderen te misbruiken voor deze doeleinden.”
De algemene strategie is om het vertrouwen van de slachtoffers te winnen door middel van geavanceerde social engineering-technieken. Het doel is om de slachtoffers van hun e-mail te verleiden en ze over te halen om naar instant messaging-kanalen als Signal, Telegram of WhatsApp te gaan. Vervolgens worden er valse links geplaatst die zijn ontworpen om hun inloggegevens te verzamelen.
De phishingaanvallen worden gekenmerkt door het gebruik van tools als GCollection (ook bekend als LCollection of YCollection) en DWP om inloggegevens van Google-, Hotmail- en Yahoo-gebruikers te verzamelen, aldus Google. Daarmee benadrukt APT42 “de sterke kennis van de e-mailproviders waarop ze zich richten.”
“Zodra APT42 toegang krijgt tot een account, voegen ze vaak extra toegangsmechanismen toe, zoals het wijzigen van herstel-e-mailadressen en het gebruikmaken van functies die applicaties toestaan die geen multi-factor-authenticatie ondersteunen, zoals applicatiespecifieke wachtwoorden in Gmail en wachtwoorden voor apps van derden in Yahoo”, voegde het toe.