Microsoft публикува доклад, в който подробно се описва как известни участници в заплахи, свързани с държави, използват генеративен изкуствен интелект за подобряване на методите за атака.
Според нов доклад за заплахите, изготвен от Microsoft и OpenAI, свързани с Русия, Северна Корея, Иран и Китай групировки се опитват да използват генериращ изкуствен интелект, за да информират, подобряват и усъвършенстват своите атаки.
В първия доклад „Киберсигнали за 2024 г.“ Microsoft си сътрудничи с търговския си партньор OpenAI, за да проведе проучване за това как да се гарантира, че технологиите за ИИ като ChatGPT се използват безопасно и отговорно, и да се смекчи потенциалната злоупотреба.
В изследването на Microsoft са посочени редица противници, за които се смята, че са подкрепяни от държавата групи, и е разкрито как те прилагат инструменти на изкуствения интелект в своите тактики, техники и процедури (ТТП).
Forest Blizzard, известен също като Strontium, е посочен като високо ефективен противник, свързан с конкретно звено на руската агенция за военно разузнаване ГРУ.
Регистрирано е, че групата е насочена към различни сектори, включително отбрана, транспорт/логистика, правителство, енергетика, неправителствени организации (НПО) и информационни технологии.
Microsoft отбеляза, че групата е особено активна в насочването си към организации, свързани с войната на Русия в Украйна, и характеризира набезите на групата в атаки, подпомагани от изкуствен интелект, като състоящи се от разузнаване, основано на LLM, и техники за писане на скриптове, подобрени от LLM.
Според компаниите LLM-информираното разузнаване се състои в използването на генеративен ИИ за разбиране на протоколите за сателитна комуникация и средствата за радарно изобразяване, което им позволява да получат ценна информация за потенциални цели.
От друга страна, техниките за създаване на скриптове с помощта на LLM се отнасят до използването на модели на ИИ за генериране на фрагменти от код, които могат да се използват за изпълнение на функции по време на атака.
Смята се, че свързана с Русия група е отговорна за неотдавнашна атака, при която беше компрометирана база данни, съхраняваща записи на съдебни заседания от съдебната система на щата Виктория в Австралия.
Според доклада севернокорейският хакерски колектив Emerald Sleet, известен също като Thallium, е бил много активен през цялата 2023 г., като при последните операции на групата са използвани имейли с изкуствен интелект (spear-phishing) за компрометиране и събиране на информация за видни севернокорейски специалисти.
Анализаторите на заплахите на Micorosft също така регистрират, че дейностите на групата се припокриват с тези на други хакерски групи, проследени от изследователите като Kimsuky и Velvet Chollima.
В края на 2023 г. Северна Корея беше описана като нарастваща заплаха за киберсигурността от CISO на Cyjax Йън Торнотън-Тръмп, който посочи „войнствените отношения“ на страната със съседните Южна Корея и Япония, както и със САЩ, като причина за атаките, идващи от региона.
Crimson Sandstorm, известен също като Curium, е ирански оператор, за когото се смята, че е свързан с Корпуса на гвардейците на ислямската революция (КГИР), и е активен поне от 2017 г. насам, като се насочва към системи в областта на отбраната, морския транспорт, транспорта, здравеопазването и технологиите.
Microsoft наблюдава, че атаките на групата често разчитат на атаки с „watering hole“ и други техники за социално инженерство, за да доставят собствения си зловреден софтуер за .NET.
Според анализатори на Microsoft използването на LLM от групата отразява по-широко поведение, което се използва от киберпрестъпниците, и се припокрива със заплахи, проследени в други изследвания, като Tortoiseshell, Imperial Kitten и Yellow Liderc.
Освен че използват LLM за подобряване на своите фишинг имейли и техники за писане на скриптове, Crimson Sandstorm е наблюдавана да използва LLM, за да подпомогне създаването на код за деактивиране на антивирусни системи и изтриване на файлове в директория след излизане от приложение – всичко това с цел избягване на откриването на аномалии.
Екипът за разузнаване на заплахите на Microsoft регистрира две свързани с китайската държава групи, които започват да използват технологии за изкуствен интелект, за да се насочат към различни региони.
В доклада се посочва, че Charcoal Typhoon, известна също като Chromium, е насочена към сектори, включващи правителство, висше образование, комуникации, инфраструктура, нефт и газ и информационни технологии, като се фокусира върху организации в Тайван, Тайланд, Монголия, Малайзия, Франция и Непал.
Salmon Typhoon, известен също като Sodium, има история на атаки срещу отбранителния сектор на САЩ, включително изпълнители, правителствени агенции и организации, активни в криптографския и технологичния сектор.
В доклада се отбелязва, че използването на LLM от Salmon Typhoon през 2024 г. изглежда е било ограничено до изследвания, което показва, че групата все още проучва ефикасността на LLM при извличането на чувствителна информация и проучването на потенциални цели.
Докладът на Microsoft следва предупреждението на разузнавателния алианс „Пет очи“, който разкри, че подкрепяните от държавата групи все по-често използват техники за „живот на земята“, за да поддържат достъп до системите на критичната инфраструктура.
Американските Агенция за национална сигурност (NSA), ФБР и Агенцията за киберсигурност и инфраструктура (CISA) също наскоро публикуваха подробности за методите, използвани от китайския конгломерат Volt Typhoon, за да компрометира мрежите на редица организации от критичната национална инфраструктура.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.