- Nationalstaatliche Hacker wenden sich an ChatGPT, um neue Möglichkeiten zur Durchführung von Online-Angriffen zu erkunden.
- Die Hacker mit Verbindungen zu Regierungen in Russland, Nordkorea und dem Iran erkunden neue Wege, um Online-Angriffe durchzuführen.
- Microsoft und OpenAI versuchen, sie daran zu hindern.
Als ChatGPT zum ersten Mal vorgestellt wurde, fanden Cyberkriminelle bereits Möglichkeiten, den Chatbot mit generativer KI zu nutzen, um ihre Taktiken zu verbessern. Eine der größten Bedenken von Regierungen und Strafverfolgungsbehörden in Bezug auf generative KI ist die Art und Weise, wie Cyberkriminelle diese Tools nutzen, um komplexere Bedrohungen zu erstellen und die Mechanismen zur Bereitstellung ihrer Bedrohungen zu verbessern.
Es gibt zahlreiche Berichte über Cyberkriminelle, die generative KI-Tools wie ChatGPT nutzen. Während OpenAI Maßnahmen ergriffen hat, um sicherzustellen, dass seine Tools nicht aus den falschen Gründen verwendet werden, arbeiten Cyberkriminelle hart daran, Einschränkungen zu umgehen.
Entsprechend der Bericht von Microsoft und OpenAI wird häufig von böswilligen Akteuren genutzt.
Microsoft ist ein wichtiger Geldgeber von OpenAI und nutzt seine KI-Technologie, insbesondere große Sprachmodelle (LLM), um seine eigenen Apps und Software zu betreiben.
„Cyberkriminelle Gruppen, nationalstaatliche Bedrohungsakteure und andere Gegner erforschen und testen verschiedene KI-Technologien, sobald sie auftauchen, um den potenziellen Wert für ihre Operationen und die Sicherheitskontrollen zu verstehen, die sie möglicherweise umgehen müssen. Auf der Seite der Verteidiger ist es von entscheidender Bedeutung, dieselben Sicherheitskontrollen gegen Angriffe zu verstärken und eine ebenso ausgefeilte Überwachung zu implementieren, die böswillige Aktivitäten vorhersieht und blockiert“, heißt es in dem Bericht.
Die Dienste von OpenAI, zu denen das GPT-4-Modell gehört, wurden zum „Abfragen von Open-Source-Informationen, Übersetzen, Finden von Codierungsfehlern und Ausführen grundlegender Codierungsaufgaben“ verwendet, sagte das Unternehmen in einem separater Blogbeitrag.
„Basierend auf der Zusammenarbeit und dem Informationsaustausch mit Microsoft haben wir fünf staatsnahe böswillige Akteure aus dem Weg geräumt: zwei mit China verbundene Bedrohungsakteure, bekannt als Charcoal Typhoon und Salmon Typhoon; der mit dem Iran verbundene Bedrohungsakteur Crimson Sandstorm; der mit Nordkorea verbundene Schauspieler Emerald Sleet; und der mit Russland verbundene Schauspieler Forest Blizzard. Die mit diesen Akteuren verbundenen identifizierten OpenAI-Konten wurden gekündigt“, erklärte OpenAI.
Die nationalstaatlichen Hacker nutzen ChatGPT
Hier ist eine Aufschlüsselung der fünf bundesstaatlichen Hacker, die ChatGPT für ihre Operationen nutzen.
- Waldsturm – Der mit der GRU-Einheit 26165 verbundene russische Militärgeheimdienstakteur nahm sowohl Opfer taktischer als auch strategischer Interessen für die russische Regierung ins Visier. Ihre Aktivitäten umfassen eine Vielzahl von Sektoren, darunter Verteidigung, Transport/Logistik, Regierung, Energie, Nichtregierungsorganisationen (NGOs) und Informationstechnologie. Der Einsatz von LLMs durch Forest Blizzard umfasste die Erforschung verschiedener Satelliten- und Radartechnologien, die für konventionelle Militäroperationen in der Ukraine relevant sein könnten, sowie allgemeine Forschung zur Unterstützung ihrer Cyberoperationen.
- Smaragd-Schneeregen (THALLIUM) – Der nordkoreanische Bedrohungsakteur blieb im gesamten Jahr 2023 äußerst aktiv. Seine jüngsten Operationen stützten sich auf Spear-Phishing-E-Mails, um prominente Personen zu kompromittieren und Informationen von ihnen zu sammeln. Der Einsatz von LLMs durch Emerald Sleet hat diese Aktivität unterstützt und Recherchen bei Denkfabriken und Experten zu Nordkorea sowie die Erstellung von Inhalten durchgeführt, die wahrscheinlich in Spear-Phishing-Kampagnen verwendet werden. Emerald Sleet interagierte auch mit LLMs, um öffentlich bekannte Schwachstellen zu verstehen, technische Probleme zu beheben und Unterstützung bei der Verwendung verschiedener Webtechnologien zu erhalten.
- Crimson Sandstorm (CURIUM) – Ein iranischer Bedrohungsakteur, von dem angenommen wird, dass er mit dem Korps der Islamischen Revolutionsgarde (IRGC) in Verbindung steht. Crimson Sandstorm ist seit mindestens 2017 aktiv und hat mehrere Sektoren im Visier, darunter Verteidigung, Seeschifffahrt, Transport, Gesundheitswesen und Technologie. Ihr Betrieb war häufig auf Watering-Hole-Angriffe und Social Engineering angewiesen, um benutzerdefinierte .NET-Malware zu verbreiten. Der Einsatz von LLMs durch Crimson Sandstorm spiegelt das umfassendere Verhalten wider, das die Sicherheitsgemeinschaft bei diesem Bedrohungsakteur beobachtet hat. Zu den Interaktionen gehörten Anfragen nach Unterstützung rund um Social Engineering, Unterstützung bei der Fehlerbehebung, .NET-Entwicklung und Möglichkeiten, wie ein Angreifer auf einem kompromittierten Computer der Entdeckung entgehen könnte.
- Holzkohle-Taifun (CHROM) – Ein mit dem chinesischen Staat verbundener Bedrohungsakteur mit einem breiten operativen Spektrum. Die Gruppe ist dafür bekannt, auf Sektoren wie Regierung, Hochschulbildung, Kommunikationsinfrastruktur, Öl und Gas sowie Informationstechnologie abzuzielen. Ihre Aktivitäten konzentrierten sich hauptsächlich auf Einheiten in Taiwan, Thailand, der Mongolei, Malaysia, Frankreich und Nepal, wobei sich die beobachteten Interessen auf Institutionen und Einzelpersonen weltweit erstreckten, die sich dem chinesischen Staat widersetzen. Bei den jüngsten Einsätzen untersuchte Charcoal Typhoon, wie LLMs ihre technischen Abläufe verbessern können. Dies umfasste den Einsatz von LLMs zur Unterstützung der Werkzeugentwicklung, der Erstellung von Skripten, dem Verständnis verschiedener Standard-Cybersicherheitstools und der Generierung von Inhalten, die für Social-Engineering-Ziele verwendet werden könnten.
- Lachstaifun (NATRIUM) – Ein weiterer hochentwickelter chinesischer staatsnaher Bedrohungsakteur, der in der Vergangenheit US-Verteidigungsunternehmen, Regierungsbehörden und Unternehmen im Bereich der kryptografischen Technologie ins Visier genommen hat. Dieser Bedrohungsakteur hat seine Fähigkeiten durch den Einsatz von Malware wie Win32/Wkysol unter Beweis gestellt, um den Fernzugriff auf kompromittierte Systeme aufrechtzuerhalten. Nach mehr als einem Jahrzehnt Betrieb, der von zeitweiligen Ruhephasen und Wiederaufleben geprägt war, zeigte Salmon Typhoon in letzter Zeit erneute Aktivität. Insbesondere scheinen die Interaktionen von Salmon Typhoon mit LLMs im Jahr 2023 explorativ zu sein und legen nahe, dass dieser Bedrohungsakteur die Wirksamkeit von LLMs bei der Beschaffung von Informationen zu potenziell sensiblen Themen, hochkarätigen Personen, regionaler Geopolitik, US-Einfluss und internen Angelegenheiten bewertet. Diese vorläufige Zusammenarbeit mit LLMs könnte sowohl eine Erweiterung ihres Instrumentariums zur Informationsbeschaffung als auch eine experimentelle Phase bei der Bewertung der Fähigkeiten neuer Technologien widerspiegeln.
„KI-Technologien werden sich weiterentwickeln und von verschiedenen Bedrohungsakteuren untersucht werden. „Microsoft wird weiterhin Bedrohungsakteure und böswillige Aktivitäten verfolgen, die LLMs missbrauchen, und mit OpenAI und anderen Partnern zusammenarbeiten, um Informationen auszutauschen, den Schutz für Kunden zu verbessern und die breitere Sicherheitsgemeinschaft zu unterstützen“, erklärte Microsoft.
In der Zwischenzeit wird OpenAI einen mehrstufigen Ansatz verfolgen, um die Nutzung seiner Plattform durch böswillige staatsnahe Hacker zu bekämpfen. Dazu gehört die Überwachung und Bekämpfung böswilliger staatsnaher Akteure, die Arbeit an öffentlicher Transparenz und die Iteration von Sicherheitsmigrationen.
„Obwohl wir daran arbeiten, potenziellen Missbrauch durch solche Akteure zu minimieren, werden wir nicht in der Lage sein, jeden Vorfall zu stoppen. Aber indem wir weiterhin innovativ sind, Nachforschungen anstellen, zusammenarbeiten und Inhalte teilen, machen wir es böswilligen Akteuren schwerer, im gesamten digitalen Ökosystem unentdeckt zu bleiben und verbessern das Erlebnis für alle anderen“, schloss OpenAI.