Rilevamento degli attacchi APT sostenuti da nazioni: Microsoft e OpenAI avvertono dello sfruttamento dell’IA da parte di hacker iraniani, nordcoreani, cinesi e russi
Indice:
Nel corso del 2023, la frequenza e la sofisticazione degli attacchi sono aumentate insieme alla rapida evoluzione e adozione della tecnologia AI. I difensori stanno cominciando a comprendere e sfruttare il potenziale dell’AI generativa per scopi difensivi per superare gli avversari, mentre le forze offensive non rimangono indietro. Gli hacker hanno abusato delle tecnologie potenziate dall’AI, come ChatGPT, per eseguire varie operazioni malevole, come generare email di phishing mirate, scrivere macro di Excel o creare nuovi campioni di ransomware. All’alba dell’era dell’AI, ci stiamo ancora chiedendo se i modelli linguistici di grandi dimensioni (LLM) siano una benedizione o una maledizione per il futuro della difesa informatica.
Gruppi APT statali affiliati dalla Cina, Iran, Corea del Nord e Russia stanno sperimentando l’uso di AI e LLM per potenziare le loro operazioni offensive esistenti.
Rileva Gli Attacchi degli APT Statali Utilizzando l’AI
Le tensioni geo-politiche in escalation a livello globale hanno un impatto sul dominio informatico, essendo uno dei motivi per cui l’anno 2023 è stato segnato dall’attività crescente degli attori statali. I gruppi APT adottano costantemente nuove tattiche, tecniche e procedure per passare inosservati e avere successo con i loro obiettivi malevoli, il che significa che i difensori informatici devono avanzare i loro strumenti per affrontare la sofisticazione e il volume crescenti degli attacchi.
Chiaramente, le tecnologie AI e LLM attraggono l’attenzione degli attori delle minacce poiché consentono l’automazione di routine, tra cui la ricerca di dati open-source, la traduzione di note e script malevoli in più lingue e l’esecuzione di compiti di ingegneria di base. Secondo l’ indagine di OpenAI e Microsoft, diversi collettivi sostenuti da nazioni stanno facendo pesante affidamento sull’AI per potenziare le loro capacità malevoli, inclusi i nordcoreani Emerald Sleet, il cinese Charcoal Typhoon, il russo Forest Blizzard, e l’iraniano Crimson Sandstorm.
Per potenziare i difensori informatici per stare al passo con attacchi di qualsiasi complessità e sofisticazione, la piattaforma SOC Prime offre un set di strumenti avanzati per la caccia alle minacce e l’ingegneria di rilevamento. Basato sull’intelligence globale sulle minacce, il crowdsourcing, il modello zero-trust e l’AI, la piattaforma consente ai professionisti della sicurezza di cercare attraverso la più grande collezione di algoritmi di rilevamento basati sui comportamenti contro attacchi APT, trovare e affrontare punti ciechi nella copertura di rilevamento, automatizzare l’ingegneria di rilevamento e altro ancora.
Per rilevare attività malevole associate agli attori APT in evidenza, basta seguire i link qui sotto. Tutte le regole elencate sono compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake e mappate a MITRE ATT&CK® v14.1. Inoltre, i rilevamenti sono arricchiti con metadati estesi come riferimenti CTI, cronologie degli attacchi e raccomandazioni per il triage.
Emerald Sleet (alias Kimsuky, APT43, Black Banshee, Velvet Chollima, THALLIUM)
Charcoal Typhoon (alias Earth Lusca, Red Scylla)
Forest Blizzard (alias APT28, Fancy Bear)
Crimson Sandstorm (alias Imperial Kittens, TA456)
Per sfogliare l’intero stack di rilevamento mirato alla rilevazione degli APT nordcoreani, iraniani, russi, e cinesi, premi il pulsante Esplora Rilevamenti qui sotto.
Analisi degli Attacchi degli APT Statali Utilizzando l’AI
Microsoft e OpenAI hanno recentemente scoperto e interrotto l’uso malevolo dell’AI generativa da parte di cinque gruppi APT sponsorizzati da stati. Gli avversari miravano principalmente a sfruttare i servizi di OpenAI per accedere ai dati disponibili pubblicamente, traduzione linguistica, identificazione di difetti di codifica ed esecuzione di compiti di codifica di base.
La ricerca ha rivelato i seguenti collettivi di hacking dalla Cina, Iran, Corea del Nord e Russia. Di seguito sono elencati cinque gruppi APT dietro gli attacchi che sfruttano la tecnologia LLM per eseguire le loro operazioni malevoli.
Tra gli attori nazionali legati alla Cina che sfruttano l’AI ci sono Charcoal Typhoon (alias Aquatic Panda) e Salmon Typhoon (alias Maverick Panda). Il primo ha utilizzato le offerte di OpenAI per indagare su diverse aziende e sui loro tool di sicurezza informatica, eseguire il debug del codice, generare script e probabilmente produrre contenuti per campagne di phishing mirate. Il secondo ha sfruttato gli LLM per la traduzione tecnica, raccogliere dati accessibili al pubblico su varie agenzie di intelligence e ricercare tecniche di evasione.
Il gruppo Iran-backed Crimson Sandstorm (alias Imperial Kitten) ha sfruttato i servizi di OpenAI per operazioni di scripting a supporto dello sviluppo di app e web, per la generazione di contenuti per lanciare attacchi spear-phishing e cercare tecniche comuni per l’evasione del rilevamento.
Il nefando gruppo di hacking nordcoreano, noto come THALLIUM (alias Emerald Sleet o Kimusky), recentemente avvistato in attacchi contro la Corea del Sud utilizzando Troll Stealer e malware GoBear, ha fatto anche lui un passo in avanti. Gli hacker hanno utilizzato la tecnologia LLM per analizzare vulnerabilità di sicurezza accessibili al pubblico, assistere in semplici operazioni di scripting e generare contenuti per campagne di phishing.
Per quanto riguarda le forze offensive russe, i ricercatori hanno identificato tracce di attività malevole legate a Forest Blizzard (alias APT28 o Fancy Bear) hacker dietro lo sfruttamento delle offerte di OpenAI. Forest Blizzard è stato osservato mentre conduceva ricerche open-source sui protocolli di comunicazione satellitare e sulla tecnologia di imaging radar, insieme all’esecuzione di operazioni di scripting supportate dall’AI. Notoriamente, APT28 è stato osservato lanciare una serie di campagne offensive contro organizzazioni ucraine insieme ad altri collettivi di hacking russi dall’inizio della guerra a tutto campo in Ucraina, comunemente sfruttando il vettore d’attacco di phishing.
Mentre l’evoluzione tecnologica spinge la necessità di protocolli di sicurezza informatica e sicurezza robusti, Microsoft ha recentemente pubblicato ricerche che coprono i principi di mitigazione del rischio associati all’uso di strumenti AI da parte dei gruppi APT sostenuti da nazioni e degli hacker individuali. Questi principi comprendono l’identificazione e la risposta all’abuso dell’AI da parte delle forze offensive, la notifica ad altri fornitori di servizi AI, la cooperazione con gli stakeholder rilevanti per uno scambio tempestivo di informazioni e il mantenimento della trasparenza.
L’evoluzione continua dell’ecosistema delle minacce è stata impattata dal potere dell’AI generativa, con difensori e attori delle minacce che si affrettano a ottenere un vantaggio competitivo nel dominio informatico. Seguire le migliori pratiche di igiene informatica supportate dall’approccio zero-trust e accompagnate da un rilevamento proattivo delle minacce aiuta i difensori a stare al passo con gli avversari nell’era dell’AI. SOC Prime promuove il sistema collettivo di difesa informatica basato su intelligence delle minacce, open-source, zero-trust e AI generativa. Equipaggia il tuo team con contenuti di rilevamento curati contro attacchi APT attuali ed emergenti per mantenerti avanti agli avversari con la difesa informatica collettiva in azione.
