Détection d’Attaques APT de Nations Souveraines : Microsoft et OpenAI Avertissent de l’Exploitation de l’IA par des Hackers Iraniens, Nord-Coréens, Chinois et Russes
Table des matières :
Tout au long de 2023, la fréquence et la sophistication des attaques ont augmenté parallèlement à l’évolution rapide et à l’adoption de la technologie de l’IA. Les défenseurs commencent tout juste à comprendre et à exploiter le potentiel de l’IA générative à des fins défensives pour dépasser les adversaires, tandis que les forces offensives ne restent pas à la traîne. Les hackers ont abusé des technologies alimentées par l’IA, telles que ChatGPT, pour réaliser diverses opérations malveillantes, telles que générer des e-mails de phishing ciblés, écrire des macros Excel, ou créer de nouveaux échantillons de rançongiciel. À l’aube de l’ère de l’IA, nous nous demandons encore si les grands modèles de langage (LLM) sont une bénédiction ou une malédiction pour l’avenir de la cyberdéfense.
Groupes APT affiliés à l’État de Chine, Iran, Corée du Nord et Russie expérimentent l’utilisation de l’IA et des LLM pour renforcer leurs opérations offensives existantes.
Détecter les attaques par APT d’État-nation utilisant l’IA
Les tensions géopolitiques mondiales croissantes ont un impact sur le domaine cybernétique, étant l’une des raisons pour lesquelles l’année 2023 a été marquée par l’activité croissante des acteurs étatiques-nations. Les groupes APT adoptent constamment de nouvelles tactiques, techniques et procédures pour passer inaperçus et réussir leurs objectifs malveillants, ce qui signifie que les défenseurs doivent faire progresser leurs outils pour faire face à la sophistication et au volume croissants des attaques.
Clairement, les technologies IA et LLM attirent l’attention des acteurs malveillants car elles permettent l’automatisation de routine, y compris la recherche de données open-source, la traduction de notes et de scripts malveillants vers plusieurs langues, et l’exécution de tâches d’ingénierie de base. Selon l’ enquête d’OpenAI et Microsoft, plusieurs collectifs soutenus par des États s’appuient fortement sur l’IA pour accroître leurs capacités malveillantes, y compris les Nord-Coréens Sleet Émeraude, Typhon Charbon Chinois, Blizzard Forest Russe et Tempête de Sable Écarlate Iranienne. , and Iranian Crimson Sandstorm.Â
Pour permettre aux défenseurs cybernétiques de rester en avance sur des attaques de toute complexité et sophistication, la plateforme SOC Prime propose un ensemble d’outils avancés pour la chasse aux menaces et l’ingénierie de détection. Basée sur le renseignement mondial sur les menaces, la collaboration, le zero-trust et l’IA, la plateforme permet aux professionnels de la sécurité de rechercher à travers la plus grande collection d’algorithmes de détection comportementale contre les attaques APT, de trouver et de résoudre les lacunes dans la couverture de détection, d’automatiser l’ingénierie de détection, et bien plus encore.
Pour détecter l’activité malveillante associée aux acteurs APT sous les projecteurs, suivez simplement les liens ci-dessous. Toutes les règles énumérées sont compatibles avec 28 solutions SIEM, EDR, XDR et Data Lake et mappées à MITRE ATT&CK® v14.1. De plus, les détections sont enrichies de métadonnées étendues telles que des références CTI, des chronologies d’attaques et des recommandations de triage.Â
Sleet Émeraude (alias Kimsuky, APT43, Black Banshee, Velvet Chollima, THALLIUM)
Typhon Charbon (alias Earth Lusca, Red Scylla)
Blizzard Forest (alias APT28, Fancy Bear)
Tempête de Sable Écarlate (alias Imperial Kittens, TA456)
Pour parcourir l’ensemble de la pile de détection visant la détection des APT Nord-Coréens, Iraniens, Russes et Chinois, cliquez sur le Explorer les détections bouton ci-dessous.Â
Analyse des attaques APT d’État-nation utilisant l’IA
Microsoft et OpenAI ont récemment découvert et perturbé l’utilisation malveillante de l’IA générative par cinq groupes APT parrainés par l’État. Les adversaires visaient principalement à exploiter les services d’OpenAI pour accéder à des données publiquement disponibles, traduire des langues, identifier des failles de codage, et exécuter des tâches de codage de base.
La recherche a révélé les collectifs de hackers suivants de Chine, d’Iran, de Corée du Nord, et de Russie. Ci-dessous sont répertoriés cinq groupes APT derrière des attaques utilisant la technologie LLM pour effectuer leurs opérations malveillantes.
Parmi les acteurs soutenus par l’État en Chine qui exploitent l’IA se trouvent Typhon Charbon (alias Aquatic Panda) et Typhon Saumon (alias Maverick Panda). Le premier a exploité les offres d’OpenAI pour enquêter sur plusieurs entreprises et leurs outils de cybersécurité, déboguer du code, générer des scripts, et probablement produire du contenu pour des campagnes de phishing ciblées. Le second a utilisé les LLM pour la traduction technique, la collecte de données accessibles au public sur diverses agences de renseignement, et la recherche de techniques d’évasion défensives.
Le groupe Iranien, soutenu par l’État, Tempête de Sable Écarlate (alias Imperial Kitten), a tiré parti des services d’OpenAI pour des opérations de script pour aider au développement d’applications et de sites Web, pour la génération de contenu pour lancer des attaques de spear-phishing, et pour rechercher des techniques communes pour éviter les détections.
Le néfaste groupe de hackers Nord-Coréen, connu sous le nom de THALLIUM (alias Sleet Émeraude ou Kimusky), récemment repéré dans des attaques contre la Corée du Sud utilisant Troll Stealer et le malware GoBear, s’est également fait remarquer. Les hackers ont utilisé la technologie LLM pour analyser les failles de sécurité accessibles au public, aider dans des opérations de scripting simples, et générer du contenu pour des campagnes de phishing.
Quant aux forces offensives russes, les chercheurs ont identifié des traces d’activité malveillante liées à Blizzard Forest (alias APT28 ou Fancy Bear) derrière l’exploitation des offres d’OpenAI. Blizzard Forest a été observé en train de mener des recherches open-source sur les protocoles de communication par satellite et la technologie d’imagerie radar, en plus de réaliser des opérations de scripting soutenues par l’IA. Notamment, il a été observé qu’APT28 lançait une série de campagnes offensives contre des organisations ukrainiennes ainsi que d’autres collectifs de hackers russes depuis le déclenchement de la guerre à grande échelle en Ukraine, utilisant couramment le vecteur d’attaque par phishing.
Alors que l’évolution technologique pousse le besoin de protocoles de cybersécurité et de sécurité robustes, Microsoft a récemment publié des recherches couvrant les principes d’atténuation des risques associés à l’utilisation des outils d’IA par les groupes APT soutenus par l’État et les hackers individuels. Ces principes englobent l’identification et la réponse à l’utilisation abusive de l’IA par les forces offensives, la notification des autres fournisseurs de services d’IA, la coopération avec les parties prenantes pertinentes pour un échange rapide d’informations, et le maintien de la transparence.
L’évolution continue de l’écosystème des menaces a été impactée par la puissance de l’IA générative, avec les défenseurs et les acteurs de la menace cherchant tous deux à gagner un avantage concurrentiel dans le domaine cybernétique. Suivre les meilleures pratiques d’hygiène cybernétique appuyées par l’approche zero-trust et associées à une détection proactive des menaces aide les défenseurs à garder une longueur d’avance sur les adversaires à l’ère de l’IA. SOC Prime favorise le système de défense cybernétique collectif basé sur le renseignement sur les menaces, l’open-source, le zero-trust, et l’IA générative. Équipez votre équipe avec du contenu de détection sélectionné contre les attaques actuelles et émergentes d’APT pour rester en avance sur les adversaires soutenus par la défense cybernétique collective en action.
