Tweet
Microsoft: rahvusriikide häkkerid kasutavad ChatGPT-d ära
Hiina, Iraani, Põhja-Korea ja Venemaa ohustajad on kõik uurinud generatiivse tehisintellekti teenuse ChatGPT kasutusjuhtumeid, kuid pole veel kasutanud selliseid tööriistu täiemahulises küberrünnakus.
1 — Hiina, Iraani, Põhja-Korea ja Venemaa valitsuste toetatud rahvusriikide ohus osalejad kasutavad suuri keelemudeleid (LLM), mida kasutavad generatiivsed tehisintellektiteenused, nagu OpenAI ChatGPT, kuid seda pole veel kasutatud üheski olulises küberrünnakus. Microsoft Threat Intelligence Centerile (MSTIC)
2 — MSTIC-i teadlased on töötanud käsikäes OpenAI-ga – millega Microsoftil on pikaajaline ja aeg-ajalt vastuoluline mitme miljardi dollari suurune partnerlus –, et jälgida erinevaid vastase rühmitusi ja jagada luureandmeid ohus osalejate ning nende uute taktikate, tehnikate ja protseduuride (TTP) kohta. ). Mõlemad organisatsioonid teevad ka koostööd MITERiga, et integreerida need uued TTP-d MITER ATT&CK raamistikku ja ATLASe teadmistebaasi.
MSTIC ütles, et viimastel aastatel on ohus osalejad jälginud hoolsalt tehnoloogia arengusuundi paralleelselt kaitsjatega ning sarnaselt kaitsjatele on nad vaadanud tehisintellekti kui meetodit oma tootlikkuse suurendamiseks ja kasutanud ära platvorme, nagu ChatGPT, mis võiksid olla kasulikud. neile.
"Küberkuritegevuse rühmitused, rahvusriikide ohus osalejad ja teised vastased uurivad ja katsetavad erinevaid tehisintellekti tehnoloogiaid, kui need ilmuvad, et mõista nende tegevuse potentsiaalset väärtust ja turvakontrolli, millest neil võib olla vaja mööda hiilida," kirjutas MSTICi meeskond. äsja avaldatud ajaveebi postituses, milles kirjeldatakse üksikasjalikult nende senist tööd.
"Kaitsja poolel on nende samade turvakontrollide tugevdamine rünnakute eest ja sama keeruka seire rakendamine, mis ennetab ja blokeerib pahatahtlikku tegevust."
3 — Meeskond ütles, et kuigi ohus osalejate motiivid ja keerukus on erinevad, on neil ühised ülesanded, nagu luure ja uurimine, kodeerimine ja pahavara arendamine ning paljudel juhtudel inglise keele õppimine. Eelkõige on keeletugi kujunemas peamiseks kasutusjuhtumiks ohus osalejate abistamiseks sotsiaalse korralduse ja ohvrite läbirääkimistel.
Meeskond ütles aga, et selle kirjutamise ajal on see umbes nii kaugele, kui ohus osalejad on jõudnud. Nad kirjutasid: "Oluline on see, et meie OpenAI-uuringud ei tuvastanud olulisi rünnakuid, mis kasutaksid LLM-e, mida me tähelepanelikult jälgime."
Nad lisasid: "Kuigi ründajad on jätkuvalt huvitatud tehisintellekti ja sondeerimistehnoloogiate praegustest võimalustest ja turvakontrollist, on oluline neid riske kontekstis hoida. Nagu alati, on hügieenipraktikad, nagu mitmefaktoriline autentimine (MFA) ja Zero Trust kaitsemehhanismid, olulised, sest ründajad võivad kasutada tehisintellektil põhinevaid tööriistu, et täiustada oma olemasolevaid küberrünnakuid, mis põhinevad sotsiaalsel manipuleerimisel ning turvamata seadmete ja kontode leidmisel.
Millega nad tegelenud on?
・MSTIC on täna jaganud üksikasju viie rahvusriigi arenenud püsiva ohu (APT) rühmituse tegevuse kohta, mis on ChatGPT-ga mängides tabanud, üks Iraanist, Põhja-Koreast, Venemaalt ja kahest Hiinast.
・Iraani APT, Crimson Sandstorm (teise nimega Tortoiseshell, Imperial Kitten, Yellow Liderc), mis on seotud Teherani islami revolutsioonilise kaardiväe korpusega (IRGC), sihib mitut vertikaali rünnakute ja sotsiaalse manipuleerimisega, et pakkuda kohandatud .NET-i pahavara.
・Mõned selle LLM-i loodud sotsiaalse manipuleerimise peibutised on hõlmanud andmepüügimeile, mis väidetavalt pärinevad silmapaistvalt rahvusvaheliselt arendusagentuurilt, ja teist kampaaniat, mis üritas feministe aktiviste võltsveebisaidile meelitada.
・Samuti kasutas see LLM-e koodijuppide genereerimiseks, et toetada rakenduste ja veebisaitide arendamist, suhelda kaugserveritega, koguda veebi ja täita ülesandeid, kui kasutajad sisse logivad. Samuti üritas see LLM-e kasutada koodi väljatöötamiseks, mis võimaldaks sellel tuvastamisest kõrvale hiilida, ja õppida, kuidas viirusetõrjetööriistu keelata.
・Põhja-Korea APT Emerald Sleet (teise nimega Kimsuky, Velvet Chollima) soosib andmepüügirünnakuid, et koguda Põhja-Korea ekspertidelt luureandmeid, ning maskeerub sageli akadeemiliste institutsioonide ja valitsusväliste organisatsioonidena, et neid endasse meelitada.
・Emerald Sleet on kasutanud LLM-e suures osas selle tegevuse toetamiseks, samuti Põhja-Koreaga seotud mõttekodade ja ekspertide uurimist ning andmepüügipeibutiste loomist.
Samuti on näha, et see suhtleb LLM-idega, et mõista avalikult avalikustatud turvaauke (eriti CVE-2022-30190 ehk Follina, mis on Microsofti tugidiagnostika tööriista nullpäev) tehniliste probleemide tõrkeotsinguks ja abi saamiseks erinevate veebitehnoloogiate kasutamisel. ・Venemaa APT Forest Blizzard (teise nimega APT28, Fancy Bear), mis tegutseb Venemaa sõjaväeluure nimel GRU üksuse 26165 kaudu, on Ukraina sihtmärkide vastu suunatud küberrünnakute toetamiseks aktiivselt kasutanud LLM-e.
・Muuhulgas on see tabatud LLM-ide kasutamisest satelliitside ja radari kujutise tehnoloogiate jaoks, mis võivad olla seotud tavapäraste Ukraina-vastaste sõjaliste operatsioonidega, abi otsimisel põhiliste skriptimisülesannete täitmisel, sealhulgas failide manipuleerimine, andmete valik, regulaaravaldised ja multitöötlus. MSTIC ütles, et see võib viidata sellele, et Forest Blizzard püüab välja selgitada, kuidas osa oma tööst automatiseerida.
・Kaks Hiina APT-d on Charcoal Typhoon (teise nimega Aquatic Panda, ControlX, RedHotel, Bronze University) ja Salmon Typhoon (teise nimega APT4, Maverick Panda).
Charcoal Typhoonil on lai tegevusala, mis on suunatud mitmele võtmesektorile, nagu valitsus, side, fossiilkütused ja infotehnoloogia Aasia ja Euroopa riikides, samas kui Salmon Typhoon on mõeldud USA kaitsetöövõtjatele, valitsusasutustele ja krüptotehnoloogia spetsialistidele.
・On täheldatud, et Charcoal Typhoon kasutab LLM-e oma tehnilise väärtuse suurendamise uurimiseks, abi otsimiseks tööriistade arendamiseks, skriptimiseks, kaupade küberturvalisuse tööriistade mõistmiseks ja sotsiaalse inseneride loomiseks.
・Salmon Typhoon kasutab ka LLM-e uurimuslikul viisil, kuid on püüdnud neid kasutada teabe hankimiseks tundlikel geopoliitilistel teemadel, mis pakuvad huvi Hiinale, kõrgetasemelistele isikutele ning USA globaalsele mõjuvõimule ja siseasjadele. Kuid vähemalt ühel korral üritas see ka ChatGPT-d panna pahatahtlikku koodi kirjutama – MSTIC märkis, et mudel keeldus vastavalt oma eetilistele kaitsemeetmetele selles abistamast.
Kõigi vaadeldud APT-de kontod ja juurdepääs ChatGPT-le on peatatud.
4 — Orca Security tehniline analüütik Neil Carpenter ütles MSTIC – OpenAI uuringut kommenteerides, et kaitsjate jaoks on kõige olulisem tõdemus, et kuigi rahvusriikide vastased on huvitatud LLM-idest ja generatiivsest tehisintellektist, on nad alles algusjärgus ja nende huvides. ei ole veel andnud ühtegi uudset ega täiustatud tehnikat.
„See näitab, et organisatsioonid, kes keskenduvad olemasolevatele parimatele tavadele oma varade kaitsmisel ning võimalike intsidentide tuvastamisel ja neile reageerimisel, on hästi positsioneeritud; Lisaks saavad nendest investeeringutest jätkuvalt kasu organisatsioonid, kes kasutavad täiustatud lähenemisviise, nagu null-usaldus," ütles Carpenter Computer Weeklyle e-posti teel saadetud kommentaarides.
„Generatiivsed tehisintellekti lähenemisviisid võivad kaitsjaid kindlasti aidata samal viisil, nagu Microsoft kirjeldab neid kasutavaid ohutegureid; tõhusamalt tegutseda. Näiteks praegu kasutatavate Ivanti haavatavuste puhul võimaldab tehisintellektil põhinev otsing kaitsjatel kiiresti tuvastada kõige kriitilisemad, paljastatumad ja haavatavamad varad isegi siis, kui esialgsetel reageerijatel puuduvad eriteadmised nende turvaplatvormidel kasutatavate domeenispetsiifiliste keelte kohta." ta lisas.
https://www.computerweekly.com/news/366570000/Microsoft-Nation-state-hackers-are-exploiting-ChatGPT
1 — Hiina, Iraani, Põhja-Korea ja Venemaa valitsuste toetatud rahvusriikide ohus osalejad kasutavad suuri keelemudeleid (LLM), mida kasutavad generatiivsed tehisintellektiteenused, nagu OpenAI ChatGPT, kuid seda pole veel kasutatud üheski olulises küberrünnakus. Microsoft Threat Intelligence Centerile (MSTIC)
2 — MSTIC-i teadlased on töötanud käsikäes OpenAI-ga – millega Microsoftil on pikaajaline ja aeg-ajalt vastuoluline mitme miljardi dollari suurune partnerlus –, et jälgida erinevaid vastase rühmitusi ja jagada luureandmeid ohus osalejate ning nende uute taktikate, tehnikate ja protseduuride (TTP) kohta. ). Mõlemad organisatsioonid teevad ka koostööd MITERiga, et integreerida need uued TTP-d MITER ATT&CK raamistikku ja ATLASe teadmistebaasi.
MSTIC ütles, et viimastel aastatel on ohus osalejad jälginud hoolsalt tehnoloogia arengusuundi paralleelselt kaitsjatega ning sarnaselt kaitsjatele on nad vaadanud tehisintellekti kui meetodit oma tootlikkuse suurendamiseks ja kasutanud ära platvorme, nagu ChatGPT, mis võiksid olla kasulikud. neile.
"Küberkuritegevuse rühmitused, rahvusriikide ohus osalejad ja teised vastased uurivad ja katsetavad erinevaid tehisintellekti tehnoloogiaid, kui need ilmuvad, et mõista nende tegevuse potentsiaalset väärtust ja turvakontrolli, millest neil võib olla vaja mööda hiilida," kirjutas MSTICi meeskond. äsja avaldatud ajaveebi postituses, milles kirjeldatakse üksikasjalikult nende senist tööd.
"Kaitsja poolel on nende samade turvakontrollide tugevdamine rünnakute eest ja sama keeruka seire rakendamine, mis ennetab ja blokeerib pahatahtlikku tegevust."
3 — Meeskond ütles, et kuigi ohus osalejate motiivid ja keerukus on erinevad, on neil ühised ülesanded, nagu luure ja uurimine, kodeerimine ja pahavara arendamine ning paljudel juhtudel inglise keele õppimine. Eelkõige on keeletugi kujunemas peamiseks kasutusjuhtumiks ohus osalejate abistamiseks sotsiaalse korralduse ja ohvrite läbirääkimistel.
Meeskond ütles aga, et selle kirjutamise ajal on see umbes nii kaugele, kui ohus osalejad on jõudnud. Nad kirjutasid: "Oluline on see, et meie OpenAI-uuringud ei tuvastanud olulisi rünnakuid, mis kasutaksid LLM-e, mida me tähelepanelikult jälgime."
Nad lisasid: "Kuigi ründajad on jätkuvalt huvitatud tehisintellekti ja sondeerimistehnoloogiate praegustest võimalustest ja turvakontrollist, on oluline neid riske kontekstis hoida. Nagu alati, on hügieenipraktikad, nagu mitmefaktoriline autentimine (MFA) ja Zero Trust kaitsemehhanismid, olulised, sest ründajad võivad kasutada tehisintellektil põhinevaid tööriistu, et täiustada oma olemasolevaid küberrünnakuid, mis põhinevad sotsiaalsel manipuleerimisel ning turvamata seadmete ja kontode leidmisel.
Millega nad tegelenud on?
・MSTIC on täna jaganud üksikasju viie rahvusriigi arenenud püsiva ohu (APT) rühmituse tegevuse kohta, mis on ChatGPT-ga mängides tabanud, üks Iraanist, Põhja-Koreast, Venemaalt ja kahest Hiinast.
・Iraani APT, Crimson Sandstorm (teise nimega Tortoiseshell, Imperial Kitten, Yellow Liderc), mis on seotud Teherani islami revolutsioonilise kaardiväe korpusega (IRGC), sihib mitut vertikaali rünnakute ja sotsiaalse manipuleerimisega, et pakkuda kohandatud .NET-i pahavara.
・Mõned selle LLM-i loodud sotsiaalse manipuleerimise peibutised on hõlmanud andmepüügimeile, mis väidetavalt pärinevad silmapaistvalt rahvusvaheliselt arendusagentuurilt, ja teist kampaaniat, mis üritas feministe aktiviste võltsveebisaidile meelitada.
・Samuti kasutas see LLM-e koodijuppide genereerimiseks, et toetada rakenduste ja veebisaitide arendamist, suhelda kaugserveritega, koguda veebi ja täita ülesandeid, kui kasutajad sisse logivad. Samuti üritas see LLM-e kasutada koodi väljatöötamiseks, mis võimaldaks sellel tuvastamisest kõrvale hiilida, ja õppida, kuidas viirusetõrjetööriistu keelata.
・Põhja-Korea APT Emerald Sleet (teise nimega Kimsuky, Velvet Chollima) soosib andmepüügirünnakuid, et koguda Põhja-Korea ekspertidelt luureandmeid, ning maskeerub sageli akadeemiliste institutsioonide ja valitsusväliste organisatsioonidena, et neid endasse meelitada.
・Emerald Sleet on kasutanud LLM-e suures osas selle tegevuse toetamiseks, samuti Põhja-Koreaga seotud mõttekodade ja ekspertide uurimist ning andmepüügipeibutiste loomist.
Samuti on näha, et see suhtleb LLM-idega, et mõista avalikult avalikustatud turvaauke (eriti CVE-2022-30190 ehk Follina, mis on Microsofti tugidiagnostika tööriista nullpäev) tehniliste probleemide tõrkeotsinguks ja abi saamiseks erinevate veebitehnoloogiate kasutamisel. ・Venemaa APT Forest Blizzard (teise nimega APT28, Fancy Bear), mis tegutseb Venemaa sõjaväeluure nimel GRU üksuse 26165 kaudu, on Ukraina sihtmärkide vastu suunatud küberrünnakute toetamiseks aktiivselt kasutanud LLM-e.
・Muuhulgas on see tabatud LLM-ide kasutamisest satelliitside ja radari kujutise tehnoloogiate jaoks, mis võivad olla seotud tavapäraste Ukraina-vastaste sõjaliste operatsioonidega, abi otsimisel põhiliste skriptimisülesannete täitmisel, sealhulgas failide manipuleerimine, andmete valik, regulaaravaldised ja multitöötlus. MSTIC ütles, et see võib viidata sellele, et Forest Blizzard püüab välja selgitada, kuidas osa oma tööst automatiseerida.
・Kaks Hiina APT-d on Charcoal Typhoon (teise nimega Aquatic Panda, ControlX, RedHotel, Bronze University) ja Salmon Typhoon (teise nimega APT4, Maverick Panda).
Charcoal Typhoonil on lai tegevusala, mis on suunatud mitmele võtmesektorile, nagu valitsus, side, fossiilkütused ja infotehnoloogia Aasia ja Euroopa riikides, samas kui Salmon Typhoon on mõeldud USA kaitsetöövõtjatele, valitsusasutustele ja krüptotehnoloogia spetsialistidele.
・On täheldatud, et Charcoal Typhoon kasutab LLM-e oma tehnilise väärtuse suurendamise uurimiseks, abi otsimiseks tööriistade arendamiseks, skriptimiseks, kaupade küberturvalisuse tööriistade mõistmiseks ja sotsiaalse inseneride loomiseks.
・Salmon Typhoon kasutab ka LLM-e uurimuslikul viisil, kuid on püüdnud neid kasutada teabe hankimiseks tundlikel geopoliitilistel teemadel, mis pakuvad huvi Hiinale, kõrgetasemelistele isikutele ning USA globaalsele mõjuvõimule ja siseasjadele. Kuid vähemalt ühel korral üritas see ka ChatGPT-d panna pahatahtlikku koodi kirjutama – MSTIC märkis, et mudel keeldus vastavalt oma eetilistele kaitsemeetmetele selles abistamast.
Kõigi vaadeldud APT-de kontod ja juurdepääs ChatGPT-le on peatatud.
4 — Orca Security tehniline analüütik Neil Carpenter ütles MSTIC – OpenAI uuringut kommenteerides, et kaitsjate jaoks on kõige olulisem tõdemus, et kuigi rahvusriikide vastased on huvitatud LLM-idest ja generatiivsest tehisintellektist, on nad alles algusjärgus ja nende huvides. ei ole veel andnud ühtegi uudset ega täiustatud tehnikat.
„See näitab, et organisatsioonid, kes keskenduvad olemasolevatele parimatele tavadele oma varade kaitsmisel ning võimalike intsidentide tuvastamisel ja neile reageerimisel, on hästi positsioneeritud; Lisaks saavad nendest investeeringutest jätkuvalt kasu organisatsioonid, kes kasutavad täiustatud lähenemisviise, nagu null-usaldus," ütles Carpenter Computer Weeklyle e-posti teel saadetud kommentaarides.
„Generatiivsed tehisintellekti lähenemisviisid võivad kaitsjaid kindlasti aidata samal viisil, nagu Microsoft kirjeldab neid kasutavaid ohutegureid; tõhusamalt tegutseda. Näiteks praegu kasutatavate Ivanti haavatavuste puhul võimaldab tehisintellektil põhinev otsing kaitsjatel kiiresti tuvastada kõige kriitilisemad, paljastatumad ja haavatavamad varad isegi siis, kui esialgsetel reageerijatel puuduvad eriteadmised nende turvaplatvormidel kasutatavate domeenispetsiifiliste keelte kohta." ta lisas.
https://www.computerweekly.com/news/366570000/Microsoft-Nation-state-hackers-are-exploiting-ChatGPT