[ad_1]
Nationalstaatliche Bedrohungsakteure, die von den Regierungen Chinas, Irans, Nordkoreas und Russlands unterstützt werden, nutzen die großen Sprachmodelle (LLMs), die von generativen KI-Diensten wie chatgpt von OpenAI verwendet werden, aber bisher noch nicht bei nennenswerten Cyberangriffen eingesetzt wurden an das Microsoft Threat Intelligence Center (MSTIC)
Forscher am MSTIC arbeiten Hand in Hand mit OpenAI – mit dem Microsoft eine langjährige und gelegentlich kontroverse Verbindung hat google„>Multimilliarden-Dollar-Partnerschaft – um verschiedene Gegnergruppen zu verfolgen und Informationen über Bedrohungsakteure und ihre neuen Taktiken, Techniken und Verfahren (TTPs) auszutauschen. Beide Organisationen arbeiten auch mit MITRE zusammen, um diese neuen TTPs in das MITRE ATT&CK-Framework und die ATLAS-Wissensdatenbank zu integrieren.
In den letzten Jahren, so MSTIC, hätten Bedrohungsakteure parallel zu Verteidigern aufmerksam die Entwicklung von Technologietrends verfolgt und ebenso wie Verteidiger KI als Methode zur Steigerung ihrer Produktivität betrachtet und Plattformen wie ChatGPT ausgenutzt, die hilfreich sein könnten zu ihnen.
„Cyberkriminelle Gruppen, nationalstaatliche Bedrohungsakteure und andere Gegner erforschen und testen verschiedene KI-Technologien, sobald sie auftauchen, um den potenziellen Wert für ihre Operationen und die Sicherheitskontrollen zu verstehen, die sie möglicherweise umgehen müssen“, schrieb das MSTIC-Team in einem neu veröffentlichten Blogbeitrag, in dem sie ihre bisherige Arbeit detailliert beschreiben.
„Auf der Seite des Verteidigers ist es von entscheidender Bedeutung, dieselben Sicherheitskontrollen gegen Angriffe zu verstärken und eine ebenso ausgefeilte Überwachung zu implementieren, die böswillige Aktivitäten vorhersieht und blockiert.“
Das Team sagte, dass sich die Motive und die Fertigkeiten verschiedener Bedrohungsakteure zwar unterscheiden, sie aber doch gemeinsame Aufgaben haben, wie etwa Aufklärung und Forschung, Codierung und Malware-Entwicklung und in vielen Fällen das Erlernen der englischen Sprache. Insbesondere die Sprachunterstützung entwickelt sich zu einem wichtigen Anwendungsfall, um Bedrohungsakteure bei Social Engineering und Opferverhandlungen zu unterstützen.
Allerdings, so das Team, seien die Bedrohungsakteure zum Zeitpunkt des Verfassens dieses Artikels in etwa so weit gekommen. Sie schrieben: „Wichtig ist, dass unsere Forschung mit OpenAI keine signifikanten Angriffe identifiziert hat, bei denen die LLMs zum Einsatz kommen, die wir genau überwachen.“
Sie fügten hinzu: „Obwohl Angreifer weiterhin an KI interessiert sein werden und die aktuellen Fähigkeiten und Sicherheitskontrollen der Technologien austesten, ist es wichtig, diese Risiken im Kontext zu halten.“ Wie immer sind Hygienepraktiken wie Multifaktor-Authentifizierung (MFA) und Zero-Trust-Abwehrmaßnahmen unerlässlich, da Angreifer möglicherweise KI-basierte Tools verwenden, um ihre bestehenden Cyberangriffe zu verbessern, die auf Social Engineering und dem Auffinden ungesicherter Geräte und Konten beruhen.“
Was haben haben sie getan?
Das MSTIC hat heute Einzelheiten zu den Aktivitäten von fünf nationalstaatlichen Advanced Persistent Threat (APT)-Gruppen mitgeteilt, die es beim Herumspielen mit ChatGPT auf frischer Tat ertappt hat, jeweils eine aus dem Iran, Nordkorea, Russland und zwei aus China.
Das iranische APT, Crimson Sandstorm (auch bekannt als Tortoiseshell, Kaiserliches KätzchenYellow Liderc), das mit dem Korps der Islamischen Revolutionsgarden (IRGC) in Teheran verbunden ist, zielt mit Watering-Hole-Angriffen und Social Engineering auf mehrere Branchen ab, um benutzerdefinierte .NET-Malware zu verbreiten.
Zu den von LLM generierten Social-Engineering-Ködern gehörten Phishing-E-Mails, die angeblich von einer bekannten internationalen Entwicklungsagentur stammten, und eine weitere Kampagne, die versuchte, feministische Aktivistinnen auf eine gefälschte Website zu locken.
Außerdem wurden LLMs verwendet, um Code-Snippets zu generieren, um die Entwicklung von Anwendungen und Websites zu unterstützen, mit Remote-Servern zu interagieren, das Web zu durchsuchen und Aufgaben auszuführen, wenn sich Benutzer anmelden. Außerdem wurde versucht, LLMs zu verwenden, um Code zu entwickeln, der es ihm ermöglichen würde, einer Erkennung zu entgehen. und erfahren Sie, wie Sie Antiviren-Tools deaktivieren.
Die nordkoreanische APT Emerald Sleet (auch bekannt als Kimsuky, Velvet Chollima) bevorzugt Spear-Phishing-Angriffe, um Informationen von Nordkorea-Experten zu sammeln, und gibt sich oft als akademische Institutionen und NGOs aus, um sie anzulocken.
Emerald Sleet hat LLMs hauptsächlich zur Unterstützung dieser Aktivität sowie zur Recherche bei Denkfabriken und Experten zu Nordkorea und zur Entwicklung von Phishing-Ködern eingesetzt. Es wurde auch beobachtet, dass es mit LLMs interagiert, um öffentlich bekannt gegebene Schwachstellen zu verstehen – insbesondere CVE-2022-30190auch bekannt als Follina, ein Zero-Day-Diagnosetool des Microsoft-Supports – zur Behebung technischer Probleme und zum Erhalten von Hilfe bei der Verwendung verschiedener Webtechnologien.
Der russische APT Forest Blizzard (auch bekannt als APT28, Fancy Bear), der im Auftrag des russischen Militärgeheimdienstes über die GRU-Einheit 26165 operiert, hat LLMs aktiv zur Unterstützung von Cyberangriffen auf Ziele in der Ukraine eingesetzt.
Unter anderem wurde festgestellt, dass das Unternehmen LLMs für die Satellitenkommunikation und Radarbildgebungstechnologien nutzte, die möglicherweise mit konventionellen Militäroperationen gegen die Ukraine in Zusammenhang stehen, und Hilfe bei grundlegenden Skriptaufgaben suchte, darunter Dateimanipulation, Datenauswahl, reguläre Ausdrücke und Multiprocessing. MSTIC sagte, dies könnte ein Hinweis darauf sein, dass Forest Blizzard versucht, einen Teil seiner Arbeit zu automatisieren.
Die beiden chinesischen APTs sind Charcoal Typhoon (auch bekannt als Aquatic Panda, ControlX, RedHotel, Bronze University) und Salmon Typhoon (auch bekannt als APT4, Maverick Panda).
Charcoal Typhoon hat einen breiten Einsatzbereich und zielt auf mehrere Schlüsselsektoren wie Regierung, Kommunikation, fossile Brennstoffe und Informationstechnologie in asiatischen und europäischen Ländern ab, während Salmon Typhoon eher auf US-amerikanische Verteidigungsunternehmen, Regierungsbehörden und Spezialisten für kryptografische Technologie ausgerichtet ist.
Es wurde beobachtet, dass Charcoal Typhoon LLMs nutzte, um die Erweiterung seines technischen Know-hows zu erkunden, Hilfe bei der Werkzeugentwicklung, der Skripterstellung, dem Verständnis handelsüblicher Cyber-Sicherheitstools und der Generierung von Social-Engineering-Ködern suchte.
Salmon Typhoon nutzt LLMs ebenfalls zu explorativen Zwecken, versucht jedoch eher, damit Informationen zu sensiblen geopolitischen Themen zu beschaffen, die für China, hochrangige Persönlichkeiten sowie den globalen Einfluss und die inneren Angelegenheiten der USA von Interesse sind. Mindestens einmal wurde jedoch auch versucht, ChatGPT dazu zu bringen, bösartigen Code zu schreiben – MSTIC stellte fest, dass das Modell im Einklang mit seinen ethischen Schutzmaßnahmen es ablehnte, dabei zu helfen.
Bei allen beobachteten APTs wurden die Konten und der Zugriff auf ChatGPT gesperrt.
[ad_2]
