Los actores de amenazas de estados-nación respaldados por los gobiernos de China, Irán, Corea del Norte y Rusia están explotando los grandes modelos de lenguaje (LLM) utilizados por servicios de inteligencia artificial generativa como ChatGPT de OpenAI, pero aún no se han utilizado en ningún ciberataque significativo, según al Centro de Inteligencia de Amenazas de Microsoft (MSTIC) Los investigadores del MSTIC han estado trabajando mano a mano con OpenAI, con el que Microsoft tiene una asociación multimillonaria de larga data y en ocasiones controvertida, para rastrear varios grupos adversarios y compartir inteligencia sobre los actores de amenazas, y sus tácticas, técnicas y procedimientos emergentes (TTP). Ambas organizaciones también están trabajando con MITRE para integrar estos nuevos TTP en el marco MITRE ATT&CK y la base de conocimientos ATLAS. En los últimos años, dijo MSTIC, los actores de amenazas han seguido de cerca las tendencias tecnológicas en desarrollo en paralelo con los defensores y, al igual que los defensores, han estado considerando la IA como un método para mejorar su productividad y explotar plataformas como ChatGPT que podrían ser útiles. a ellos. «Los grupos de delitos cibernéticos, los actores de amenazas de los Estados-nación y otros adversarios están explorando y probando diferentes tecnologías de inteligencia artificial a medida que surgen, en un intento de comprender el valor potencial de sus operaciones y los controles de seguridad que pueden necesitar eludir», escribió el equipo de MSTIC. en una publicación de blog recientemente publicada que detalla su trabajo hasta la fecha. «Por parte de los defensores, es vital reforzar estos mismos controles de seguridad contra ataques e implementar un monitoreo igualmente sofisticado que anticipe y bloquee la actividad maliciosa». El equipo dijo que si bien los motivos y la sofisticación de los diferentes actores de amenazas varían, tienen tareas comunes, como reconocimiento e investigación, codificación y desarrollo de malware y, en muchos casos, aprender inglés. El soporte lingüístico en particular está surgiendo como un caso de uso clave para ayudar a los actores de amenazas con la ingeniería social y las negociaciones con las víctimas. Sin embargo, dijo el equipo, al momento de escribir este artículo, esto es lo más lejos que han llegado los actores de amenazas. Escribieron: «Es importante destacar que nuestra investigación con OpenAI no ha identificado ataques significativos que empleen los LLM que monitoreamos de cerca». Agregaron: “Si bien los atacantes seguirán interesados ​​en la IA y explorarán las capacidades y controles de seguridad actuales de las tecnologías, es importante mantener estos riesgos en contexto. Como siempre, las prácticas de higiene como la autenticación multifactor (MFA) y las defensas Zero Trust son esenciales porque los atacantes pueden usar herramientas basadas en inteligencia artificial para mejorar sus ciberataques existentes que se basan en la ingeniería social y en la búsqueda de dispositivos y cuentas no seguros”. ¿Qué han estado haciendo? El MSTIC ha compartido hoy detalles de las actividades de cinco grupos de amenazas persistentes avanzadas (APT) de estados-nación que ha sorprendido jugando con ChatGPT, uno de Irán, uno de Corea del Norte, uno de Rusia y dos de China. La APT iraní, Crimson Sandstorm (también conocida como Tortoiseshell, Imperial Kitten, Yellow Liderc), que está vinculada al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Teherán, apunta a múltiples verticales con ataques de abrevadero e ingeniería social para entregar malware .NET personalizado. Algunos de sus señuelos de ingeniería social generados por LLM han incluido correos electrónicos de phishing que supuestamente provienen de una destacada agencia de desarrollo internacional y otra campaña que intentó atraer a activistas feministas a un sitio web falso. También utilizó LLM para generar fragmentos de código para respaldar el desarrollo de aplicaciones y sitios web, interactuar con servidores remotos, raspar la web y ejecutar tareas cuando los usuarios inician sesión. También intentó usar LLM para desarrollar código que le permitiría evadir la detección. y aprender a desactivar las herramientas antivirus. La APT norcoreana, Emerald Sleet (también conocida como Kimsuky, Velvet Chollima), favorece los ataques de phishing para recopilar información de inteligencia de expertos sobre Corea del Norte y, a menudo, se hace pasar por instituciones académicas y ONG para atraerlos. Emerald Sleet ha estado utilizando LLM en gran medida en apoyo a esta actividad, así como investigación en think tanks y expertos sobre Corea del Norte, y generación de señuelos de phishing. También se le ha visto interactuando con LLM para comprender vulnerabilidades divulgadas públicamente (en particular, CVE-2022-30190, también conocida como Follina, un día cero en la herramienta de diagnóstico de soporte de Microsoft) para solucionar problemas técnicos y obtener ayuda para utilizar diversas tecnologías web. La APT rusa, Forest Blizzard (también conocida como APT28, Fancy Bear), que opera en nombre de la inteligencia militar rusa a través de la Unidad GRU 26165, ha estado utilizando activamente LLM en apoyo de ataques cibernéticos contra objetivos en Ucrania. Entre otras cosas, se le ha descubierto utilizando LLM para comunicaciones por satélite y tecnologías de imágenes de radar que pueden estar relacionadas con operaciones militares convencionales contra Ucrania, buscando ayuda con tareas básicas de secuencias de comandos, incluida la manipulación de archivos, la selección de datos, las expresiones regulares y el multiprocesamiento. MSTIC dijo que esto puede ser una indicación de que Forest Blizzard está tratando de descubrir cómo automatizar parte de su trabajo. Los dos APT chinos son Charcoal Typhoon (también conocido como Aquatic Panda, ControlX, RedHotel, Bronze University) y Salmon Typhoon (también conocido como APT4, Maverick Panda). Charcoal Typhoon tiene un amplio alcance operativo dirigido a múltiples sectores clave, como el gobierno, las comunicaciones, los combustibles fósiles y la tecnología de la información, en países asiáticos y europeos, mientras que Salmon Typhoon tiende a apuntar a contratistas de defensa, agencias gubernamentales y especialistas en tecnología criptográfica de EE. UU. Se ha observado que Charcoal Typhoon utiliza LLM para explorar cómo aumentar su conocimiento técnico, buscando ayuda en el desarrollo de herramientas, secuencias de comandos, comprensión de herramientas de seguridad cibernética básicas y generación de señuelos de ingeniería social. Salmon Typhoon también está utilizando los LLM de forma exploratoria, pero ha tendido a intentar utilizarlos para obtener información sobre temas geopolíticos sensibles de interés para China, personas de alto perfil y la influencia global y los asuntos internos de Estados Unidos. Sin embargo, al menos en una ocasión también intentó que ChatGPT escribiera código malicioso; MSTIC señaló que el modelo se negó a ayudar con esto, de acuerdo con sus salvaguardias éticas. A todas las APT observadas se les suspendieron las cuentas y el acceso a ChatGPT.

Source link