Les acteurs étatiques associés à la Russie, à la Corée du Nord, à l’Iran et à la Chine expérimentent l’intelligence artificielle (IA) et les grands modèles linguistiques (LLM) pour compléter leurs opérations de cyberattaque en cours.
Les résultats proviennent d’un rapport publié par Microsoft en collaboration avec OpenAI, tous deux dit ils ont perturbé les efforts déployés par cinq acteurs affiliés à l’État qui utilisaient ses services d’IA pour mener des cyberactivités malveillantes en mettant fin à leurs actifs et à leurs comptes.
« La prise en charge linguistique est une caractéristique naturelle des LLM et est attrayante pour les acteurs de la menace qui se concentrent continuellement sur l’ingénierie sociale et d’autres techniques reposant sur des communications fausses et trompeuses adaptées aux emplois, aux réseaux professionnels et autres relations de leurs cibles », Microsoft dit dans un rapport partagé avec The Hacker News.
Bien qu’aucune attaque significative ou nouvelle utilisant les LLM n’ait été détectée à ce jour, l’exploration contradictoire des technologies d’IA a transcendé différentes phases de la chaîne d’attaque, telles que la reconnaissance, l’assistance au codage et le développement de logiciels malveillants.
« Ces acteurs cherchaient généralement à utiliser les services OpenAI pour interroger des informations open source, traduire, trouver des erreurs de codage et exécuter des tâches de codage de base », a déclaré la société d’IA.
Par exemple, le groupe d’État-nation russe connu sous le nom de Forest Blizzard (alias APT28) aurait utilisé ses offres pour mener des recherches open source sur les protocoles de communication par satellite et la technologie d’imagerie radar, ainsi que pour l’assistance aux tâches de script.
Certaines des autres équipes de piratage notables sont répertoriées ci-dessous :
- Emerald Sleet (alias Kimusky), un acteur menaçant nord-coréen, a utilisé les LLM pour identifier des experts, des groupes de réflexion et des organisations axés sur les questions de défense dans la région Asie-Pacifique, comprendre les failles accessibles au public, aider avec les tâches de base de script et rédiger du contenu. qui pourrait être utilisé dans des campagnes de phishing.
- Crimson Sandstorm (alias Imperial Kitten), un acteur malveillant iranien qui a utilisé des LLM pour créer des extraits de code liés au développement d’applications et de sites Web, générer des e-mails de phishing et rechercher des moyens courants pour que les logiciels malveillants puissent échapper à la détection.
- Charcoal Typhoon (alias Aquatic Panda), un acteur menaçant chinois qui a utilisé des LLM pour rechercher diverses entreprises et vulnérabilités, générer des scripts, créer du contenu susceptible d’être utilisé dans des campagnes de phishing et identifier des techniques de comportement post-compromis.
- Typhon de saumon (alias Maverick Panda), un acteur menaçant chinois qui a utilisé des LLM pour traduire des documents techniques, récupérer des informations accessibles au public sur plusieurs agences de renseignement et acteurs menaçants régionaux, résoudre des erreurs de codage et trouver des tactiques de dissimulation pour échapper à la détection.
Microsoft a déclaré qu’il formulait également un ensemble de principes pour atténuer les risques posés par l’utilisation malveillante des outils d’IA et des API par les menaces persistantes avancées (APT), les manipulateurs persistants avancés (APM) et les syndicats de cybercriminels, et concevoir des garde-fous et une sécurité efficaces. mécanismes autour de ses modèles.
« Ces principes incluent l’identification et l’action contre l’utilisation par des acteurs malveillants de menaces, la notification à d’autres fournisseurs de services d’IA, la collaboration avec d’autres parties prenantes et la transparence », a déclaré Redmond.