Microsoft i OpenAI ujawniają dzisiaj, iż hakerzy wykorzystują już duże modele językowe, takie jak ChatGPT, do udoskonalania i ulepszania istniejących cyberataków. W nowo opublikowanych badaniach firmy Microsoft i OpenAI wykryły próby podejmowane przez grupy wspierane przez Rosję, Koreę Północną, Iran i Chiny wykorzystujące narzędzia takie jak ChatGPT do badania celów, ulepszania skryptów i pomocy w opracowywaniu technik inżynierii społecznej.
„Grupy cyberprzestępcze, ugrupowania stwarzające zagrożenie na szczeblu narodowym i inni przeciwnicy badają i testują różne technologie sztucznej inteligencji w miarę ich pojawiania się, próbując zrozumieć potencjalną wartość dla swoich działań oraz mechanizmów kontroli bezpieczeństwa, które być może będą musieli obejść” – stwierdza Microsoft w swoim raporcie dzisiejszy wpis na blogu.
Stwierdzono, iż grupa Strontium, powiązana z rosyjskim wywiadem wojskowym, wykorzystuje LLM „do zrozumienia protokołów komunikacji satelitarnej, technologii obrazowania radarowego i określonych parametrów technicznych”. Aktywna jest grupa hakerska, znana również jako APT28 lub Fancy Bear podczas wojny Rosji na Ukrainie i był wcześniej zaangażowany w atakowaniu kampanii prezydenckiej Hillary Clinton w 2016 r.
Według Microsoftu grupa korzysta również z LLM, aby pomóc w „podstawowych zadaniach związanych z tworzeniem skryptów, w tym manipulowaniem plikami, wybieraniem danych, wyrażeniami regularnymi i przetwarzaniem wieloprocesorowym, aby potencjalnie zautomatyzować lub zoptymalizować operacje techniczne”.
Północnokoreańska grupa hakerska, znana jako Thallium, wykorzystuje LLM do badania publicznie zgłaszanych luk w zabezpieczeniach i atakowania organizacji, pomocy w podstawowych zadaniach związanych z tworzeniem skryptów oraz do opracowywania treści do kampanii phishingowych. Microsoft twierdzi, iż irańska grupa znana jako Curium również wykorzystuje LLM do generowania wiadomości e-mail phishingowych, a choćby kodu umożliwiającego uniknięcie wykrycia przez aplikacje antywirusowe. Chińscy hakerzy powiązani z państwem wykorzystują również LLM do badań, pisania skryptów, tłumaczeń i udoskonalania istniejących narzędzi.
Pojawiły się obawy dotyczące wykorzystania sztucznej inteligencji w cyberatakach, zwłaszcza narzędzi sztucznej inteligencji, takich jak WormGPT i FraudGPT pojawiły się aby pomóc w tworzeniu złośliwych wiadomości e-mail i narzędzi do łamania zabezpieczeń. Również wyższy rangą urzędnik Agencji Bezpieczeństwa Narodowego ostrzegany w zeszłym miesiącu iż hakerzy wykorzystują sztuczną inteligencję, aby sprawić, iż ich e-maile phishingowe będą wyglądać bardziej przekonująco.
Microsoft i OpenAI nie wykryły jeszcze żadnych „znaczących ataków” z wykorzystaniem LLM, ale firmy zamykają wszystkie konta i zasoby powiązane z tymi grupami hakerskimi. „Jednocześnie uważamy, iż warto opublikować te badania, aby ujawnić wczesne etapy, stopniowe posunięcia, które obserwujemy, podejmowane przez dobrze znane podmioty zagrażające, a także podzielić się ze społecznością obrońców informacjami na temat tego, w jaki sposób je blokujemy i przeciwdziałamy” – mówi Microsoftu.
Chociaż wykorzystanie sztucznej inteligencji w cyberatakach wydaje się w tej chwili ograniczone, Microsoft ostrzega przed przyszłymi zastosowaniami, takimi jak podszywanie się pod głos. „Kolejnym poważnym problemem są oszustwa wykorzystujące sztuczną inteligencję. Przykładem tego jest synteza głosu, w przypadku której trzysekundowa próbka głosu może wytrenować model tak, aby brzmiał jak każdy” – mówi Microsoft. „Nawet coś tak nieszkodliwego, jak powitanie w poczcie głosowej, może zostać wykorzystane do uzyskania wystarczającej próbki”.
Naturalnie rozwiązanie Microsoftu wykorzystuje sztuczną inteligencję do reagowania na ataki AI. „Sztuczna inteligencja może pomóc atakującym w udoskonaleniu ataków, a oni mają do dyspozycji zasoby” – mówi Homa Hayatyfar, główny menedżer ds. analityki wykrywania w firmie Microsoft. „Zaobserwowaliśmy to na przykładzie ponad 300 podmiotów zagrażających, które Microsoft śledzi, i używamy sztucznej inteligencji do ochrony, wykrywania i reagowania”.
Microsoft buduje Drugi pilot bezpieczeństwa, nowego asystenta AI przeznaczonego dla specjalistów ds. cyberbezpieczeństwa w celu identyfikowania naruszeń i lepszego zrozumienia ogromnych ilości sygnałów i danych generowanych codziennie przez narzędzia cyberbezpieczeństwa. Gigant systemu również jest przegląd zabezpieczeń oprogramowania po poważnych atakach na chmurę Azure, a choćby rosyjskich hakerów szpiegowanie kadry kierowniczej Microsoftu.
