Erkennung von staatlich unterstützten APT-Angriffen: Microsoft und OpenAI warnen vor der Ausnutzung von KI durch Hacker aus dem Iran, Nordkorea, China und Russland
Inhaltsverzeichnis:
Im Laufe des Jahres 2023 haben Häufigkeit und Komplexität von Angriffen zugenommen, ebenso wie die rasche Entwicklung und Einführung von KI-Technologie. Verteidiger beginnen gerade erst, das Potenzial von generativer KI für Verteidigungszwecke zu erkennen und zu nutzen, um den Gegnern einen Schritt voraus zu sein, während die offensiven Kräfte nicht zurückbleiben. Hacker haben KI-basierte Technologien, wie ChatGPT, missbraucht, um verschiedene bösartige Operationen durchzuführen, wie das Erstellen gezielter Phishing-E-Mails, das Schreiben von Excel-Makros oder das Erstellen neuer Ransomware-Beispiele. Im Morgengrauen des KI-Zeitalters fragen wir uns immer noch, ob große Sprachmodelle (LLMs) ein Segen oder ein Fluch für die Zukunft der Cyberverteidigung sind.
Staatlich unterstützte APT-Gruppen aus China, Iran, Nordkorea und Russland experimentieren mit dem Einsatz von KI und LLMs, um ihre bestehenden offensiven Operationen zu verstärken.
Erkennen Sie Angriffe von staatlich gesponserten APTs mit KI
Global eskalierende geopolitische Spannungen wirken sich auf den Cyberbereich aus und sind einer der Gründe, warum das Jahr 2023 durch die zunehmende Aktivität staatlich gesponserter Akteure gekennzeichnet ist. APT-Gruppen nehmen ständig neue Taktiken, Techniken und Verfahren an, um unter dem Radar zu bleiben und ihre bösartigen Ziele zu erreichen, was bedeutet, dass Cyberverteidiger ihre Werkzeuge weiterentwickeln müssen, um mit der eskalierenden Komplexität und dem Umfang der Angriffe fertig zu werden.
Offensichtlich ziehen KI- und LLM-Technologien die Aufmerksamkeit von Bedrohungsakteuren auf sich, da sie Routineautomatisierung ermöglichen, wie die Suche nach Open-Source-Daten, das Übersetzen bösartiger Notizen und Skripte in mehrere Sprachen und das Ausführen grundlegender Ingenieuraufgaben. Laut der Untersuchung von OpenAI und Microsoft verlassen sich mehrere staatlich unterstützte Gruppen stark auf KI, um ihre bösartigen Fähigkeiten zu verstärken, darunter die nordkoreanische Emerald Sleet, die chinesische Charcoal Typhoon, die russische Forest Blizzardund die iranische Crimson Sandstorm.
Um Cyberverteidigern zu helfen, den Angriffen jeglicher Komplexität und Sophistikation einen Schritt voraus zu sein, bietet die SOC Prime Plattform eine Reihe fortschrittlicher Werkzeuge für Bedrohungsjagd und Erkennungstechnik. Basierend auf globaler Bedrohungsintelligenz, Crowdsourcing, Null-Vertrauen und KI ermöglicht die Plattform Sicherheitsexperten, die größte Sammlung verhaltensbasierter Erkennungsalgorithmen gegen APT-Angriffe zu durchsuchen, blinde Flecken in der Erkennungsabdeckung zu finden und zu beheben, die Erkennungstechnik zu automatisieren und mehr.
Um bösartige Aktivitäten zu erkennen, die mit den APT-Akteuren im Rampenlicht in Verbindung stehen, folgen Sie einfach den unten stehenden Links. Alle aufgeführten Regeln sind mit 28 SIEM-, EDR-, XDR- und Data-Lake-Lösungen kompatibel und sind auf MITRE ATT&CK® v14.1abgebildet. Zusätzlich sind die Erkennungen mit umfangreichen Metadaten wie CTI-Referenzen, Angriffstimeline und Triage-Empfehlungen angereichert.
Emerald Sleet (auch bekannt als Kimsuky, APT43, Black Banshee, Velvet Chollima, THALLIUM)
Charcoal Typhoon (auch bekannt als Earth Lusca, Red Scylla)
Forest Blizzard (auch bekannt als APT28, Fancy Bear)
Crimson Sandstorm (auch bekannt als Imperial Kittens, TA456)
Um den gesamten Erkennungsstapel für nordkoreanische, iranische, russische und chinesische APT-Erkennung zu durchstöbern, klicken Sie auf den Erkundungserkennungen Button unten.
Analyse von Angriffe durch staatlich geförderte APTs unter Einsatz von KI
Microsoft und OpenAI haben kürzlich den böswilligen Einsatz von generativer KI durch fünf staatlich geförderte APT-Gruppen aufgedeckt und gestoppt. Gegner hatten in erster Linie das Ziel, OpenAI-Dienste zu nutzen, um auf öffentlich zugängliche Daten zuzugreifen, Sprachen zu übersetzen, Codierfehler zu identifizieren und grundlegende Codierungsaufgaben auszuführen.
Die Forschung ergab die folgenden Hacking-Kollektive aus China, Iran, Nordkorea und Russland. Unten sind fünf APT-Gruppen aufgeführt, die hinter Angriffen stehen, die LLM-Technologie nutzen, um ihre böswilligen Operationen durchzuführen.
Unter den China-verknüpften staatlich unterstützten Akteuren die KI nutzen, sind Charcoal Typhoon (auch bekannt als Aquatic Panda) und Salmon Typhoon (auch bekannt als Maverick Panda) zu finden. Erstere nutzten OpenAI-Angebote, um verschiedene Unternehmen und deren Cybersicherheitstoolkits zu untersuchen, Code zu debuggen, Skripte zu generieren und wahrscheinlich Inhalte für gezielte Phishing-Kampagnen zu erstellen. Letztere setzten LLMs für technische Übersetzungen, das Sammeln öffentlich zugänglicher Daten zu verschiedenen Geheimdiensten und die Erforschung von Verteidigungstausch-Techniken ein.
Die vom Iran unterstützte Crimson Sandstorm (auch bekannt als Imperial Kitten) Gruppe nutzte OpenAI-Dienste für Skripting-Operationen zur Unterstützung bei der App- und Webentwicklung, für die Inhaltserstellung, um Spear-Phishing-Angriffe zu starten, und um nach gängigen Techniken zur Erkennungsausweichen zu suchen.
Die berüchtigte nordkoreanische Hacking-Gruppe, bekannt als THALLIUM (auch bekannt als Emerald Sleet oder Kimusky), die kürzlich bei Angriffen auf Südkorea mit Troll Stealer und GoBear Malware, ebenfalls ins Rampenlicht rückte. Hacker setzten LLM-Technologie ein, um öffentlich zugängliche Sicherheitslücken zu analysieren, bei einfachen Skripting-Operationen zu helfen und Inhalte für Phishing-Kampagnen zu generieren.
Was die russischen Offensivkräfte betrifft, so identifizierten Forscher Spuren bösartiger Aktivitäten, die mit Forest Blizzard (auch bekannt als APT28 oder Fancy Bear) Hackern verbunden sind, die OpenAI-Angebote ausnutzten. Forest Blizzard wurde bei der Durchführung von Open-Source-Forschung zu Satellitenkommunikationsprotokollen und Radarbildgebungstechnologie beobachtet, zusammen mit der Durchführung von Skripting-Operationen, die von KI unterstützt werden. Bemerkenswerterweise wurde beobachtet, dass APT28 eine Reihe von Angriffskampagnen gegen ukrainische Organisationen zusammen mit anderen russischen Hacking-Kollektiven seit dem Ausbruch des umfassenden Krieges in der Ukrainedurchführt, wobei häufig der Phishing-Angriffsvektor.
Da die technologische Evolution das Bedürfnis nach robusten Sicherheitsprotokollen im Cyberbereich vorantreibt, veröffentlichte Microsoft kürzlich eine Forschung, die die Prinzipien der Risikominderung umfasst, die mit dem Einsatz von KI-Tools durch staatlich unterstützte APT-Gruppen und individuelle Hacker verbunden sind. Diese Prinzipien umfassen die Identifikation und Reaktion auf den Missbrauch von KI durch offensive Kräfte, die Benachrichtigung anderer KI-Dienstleister, die Zusammenarbeit mit relevanten Interessengruppen für einen zeitnahen Informationsaustausch und die Aufrechterhaltung der Transparenz.
Die kontinuierliche Entwicklung des Bedrohungsökosystems wurde durch die Macht der generativen KI beeinflusst, wobei sowohl Verteidiger als auch Bedrohungsakteure bestrebt sind, im Cyberbereich einen Wettbewerbsvorteil zu erlangen. Das Befolgen von Best Practices der Cyberhygiene, unterstützt durch den Zero-Trust-Ansatz und gekoppelt mit proaktiver Bedrohungserkennung, hilft Verteidigern, im Zeitalter der KI den Gegnern voraus zu sein. SOC Prime fördert das kollektive Cyberverteidigungssystem, das auf Bedrohungsintelligenz, Open-Sourcing, Zero-Trust und generativer KI basiert. Rüsten Sie Ihr Team mit kuratierter Erkennungsinhalte gegen aktuelle und aufkommende APT-Angriffe aus, um den durch kollektive Cyberverteidigung in Aktion unterstützten Gegnern einen Schritt voraus zu sein.
