Các tác nhân quốc gia liên kết với Nga, Triều Tiên, Iran và Trung Quốc đang thử nghiệm trí tuệ nhân tạo (AI) và các mô hình ngôn ngữ lớn (LLM) để bổ sung cho các hoạt động tấn công mạng đang diễn ra của họ.
Những phát hiện này đến từ một báo cáo được công bố bởi Microsoft phối hợp với OpenAI, cả hai đều cho biết họ đã phá vỡ nỗ lực của năm tác nhân liên kết với nhà nước đã sử dụng các dịch vụ AI của mình để thực hiện các hoạt động mạng độc hại bằng cách chấm dứt tài sản và tài khoản của họ.
"Hỗ trợ ngôn ngữ là một tính năng tự nhiên của LLM và hấp dẫn đối với các tác nhân đe dọa với sự tập trung liên tục vào kỹ thuật xã hội và các kỹ thuật khác dựa trên thông tin liên lạc sai lệch, lừa đảo phù hợp với công việc, mạng lưới chuyên nghiệp và các mối quan hệ khác của mục tiêu", Microsoft cho biết trong một báo cáo được chia sẻ với The Hacker News.
Mặc dù không có cuộc tấn công đáng kể hoặc mới lạ nào sử dụng LLM được phát hiện cho đến nay, nhưng việc khám phá đối nghịch các công nghệ AI đã vượt qua các giai đoạn khác nhau của chuỗi tấn công, chẳng hạn như trinh sát, hỗ trợ mã hóa và phát triển phần mềm độc hại.
"Các tác nhân này thường tìm cách sử dụng các dịch vụ OpenAI để truy vấn thông tin nguồn mở, dịch, tìm lỗi mã hóa và chạy các tác vụ mã hóa cơ bản", công ty AI cho biết.
Ví dụ, nhóm quốc gia Nga được theo dõi là Forest Blizzard (hay còn gọi là APT28) được cho là đã sử dụng các dịch vụ của mình để tiến hành nghiên cứu nguồn mở về các giao thức truyền thông vệ tinh và công nghệ hình ảnh radar, cũng như để hỗ trợ các tác vụ kịch bản.
Một số nhóm hack đáng chú ý khác được liệt kê dưới đây -
- Emerald Sleet (hay còn gọi là Kimusky), một tác nhân đe dọa Triều Tiên, đã sử dụng LLM để xác định các chuyên gia, viện nghiên cứu và tổ chức tập trung vào các vấn đề quốc phòng ở khu vực châu Á-Thái Bình Dương, hiểu các lỗ hổng có sẵn công khai, trợ giúp các tác vụ kịch bản cơ bản và nội dung dự thảo có thể được sử dụng trong các chiến dịch lừa đảo.
- Crimson Sandstorm (hay còn gọi là Imperial Kitten), một tác nhân đe dọa Iran đã sử dụng LLM để tạo các đoạn mã liên quan đến phát triển ứng dụng và web, tạo email lừa đảo và nghiên cứu các cách phổ biến mà phần mềm độc hại có thể tránh bị phát hiện
- Charcoal Typhoon (hay còn gọi là Aquatic Panda), một tác nhân đe dọa của Trung Quốc đã sử dụng LLM để nghiên cứu các công ty và lỗ hổng khác nhau, tạo tập lệnh, tạo nội dung có khả năng sử dụng trong các chiến dịch lừa đảo và xác định các kỹ thuật cho hành vi sau thỏa hiệp
- Salmon Typhoon (hay còn gọi là Maverick Panda), một tác nhân đe dọa của Trung Quốc đã sử dụng LLM để dịch các tài liệu kỹ thuật, lấy thông tin có sẵn công khai về nhiều cơ quan tình báo và các tác nhân đe dọa khu vực, giải quyết các lỗi mã hóa và tìm chiến thuật che giấu để tránh bị phát hiện
Microsoft cho biết họ cũng đang xây dựng một bộ nguyên tắc để giảm thiểu rủi ro do việc sử dụng độc hại các công cụ và API AI của các mối đe dọa dai dẳng tiên tiến (APT), các trình thao túng liên tục tiên tiến (APM) và các tập đoàn tội phạm mạng và hình thành các lan can và cơ chế an toàn hiệu quả xung quanh các mô hình của mình.
"Những nguyên tắc này bao gồm xác định và hành động chống lại thông báo sử dụng của các tác nhân đe dọa độc hại cho các nhà cung cấp dịch vụ AI khác, hợp tác với các bên liên quan khác và tính minh bạch", Redmond nói.