Detecção de Ataques APT Patrocinados por Nações: Microsoft e OpenAI Alertam sobre Exploração de IA por Hackers Iranianos, Norte-coreanos, Chineses e Russos
Índice:
Ao longo de 2023, a frequência e a sofisticação dos ataques aumentaram juntamente com a rápida evolução e adoção da tecnologia de IA. Os defensores estão começando a compreender e aproveitar o potencial da IA generativa para fins defensivos para ultrapassar os adversários, enquanto as forças ofensivas não ficam para trás. Hackers têm abusado de tecnologias baseadas em IA, como o ChatGPT, para realizar diversas operações maliciosas, como gerar e-mails de phishing direcionados, escrever macros do Excel ou criar novas amostras de ransomware. No alvorecer da era da IA, ainda nos perguntamos se os modelos de linguagem grandes (LLMs) são uma bênção ou uma maldição para o futuro da defesa cibernética.
Grupos APT afiliados a Estados da China, Irã, Coreia do Norte e Rússia estão experimentando o uso de IA e LLMs para potencializar suas operações ofensivas existentes.
Detectar Ataques por APTs Estatais Usando IA
As crescentes tensões geopolíticas globais têm um impacto no domínio cibernético, sendo uma das razões pelas quais o ano de 2023 foi marcado com o aumento da atividade de atores estatais. Grupos APT constantemente adotam novas táticas, técnicas e procedimentos para permanecer sob o radar e alcançar seus objetivos maliciosos, o que significa que os defensores cibernéticos precisam avançar suas ferramentas para lidar com a crescente sofisticação e volumes de ataques.
Claramente, as tecnologias de IA e LLM chamam a atenção dos agentes de ameaças, pois permitem a automação de rotinas, incluindo a busca por dados de código aberto, traduzir notas maliciosas e scripts para vários idiomas e realizar tarefas básicas de engenharia. De acordo com a investigação da OpenAI e da Microsoft, vários coletivos apoiados por Estados estão confiando pesadamente na IA para aumentar suas capacidades maliciosas, incluindo a Esquadrilha Esmeralda Norte-Coreana Emerald Sleet, Tufão de Carvão Chinês, Tormenta de Neve russa Forest Blizzard, e a Tempestade de Areia Vermelha Iraniana.
Para capacitar os defensores cibernéticos a se manterem à frente de ataques de qualquer complexidade e sofisticação, a Plataforma SOC Prime fornece um conjunto de ferramentas avançadas para caça a ameaças e engenharia de detecção. Baseada em inteligência de ameaças global, crowdsourcing, confiança zero e IA, a Plataforma permite que profissionais de segurança pesquisem na maior coleção de algoritmos de detecção baseados em comportamento contra ataques APT, encontrem e resolvam pontos cegos na cobertura de detecção, automatizem a engenharia de detecção e muito mais.
Para detectar atividades maliciosas associadas aos atores APT em destaque, siga os links abaixo. Todas as regras listadas são compatíveis com 28 soluções SIEM, EDR, XDR e Data Lake e mapeadas para MITRE ATT&CK® v14.1. Além disso, as detecções são enriquecidas com extensos metadados, como referências CTI, cronogramas de ataque e recomendações de triagem.
Emerald Sleet (também conhecido como Kimsuky, APT43, Black Banshee, Velvet Chollima, THALLIUM)
Charcoal Typhoon (também conhecido como Earth Lusca, Red Scylla)
Forest Blizzard (também conhecido como APT28, Fancy Bear)
Crimson Sandstorm (também conhecido como Imperial Kittens, TA456)
Para navegar por todo o conjunto de detecção voltado para a detecção de APTs norte-coreanos, iranianos, russos e chineses, clique no Explorar Detecções botão abaixo.
Análise de Ataques APT Estatais Usando IA
Microsoft e OpenAI recentemente descobriram e interromperam o uso malicioso de IA generativa por cinco grupos APT patrocinados por Estados. Os adversários tinham como objetivo principal explorar os serviços da OpenAI para acessar dados publicamente disponíveis, tradução de idiomas, identificar falhas de codificação e executar tarefas básicas de codificação.
A pesquisa revelou os seguintes coletivos de hackers da China, Irã, Coreia do Norte e Rússia. Abaixo estão listados cinco grupos APT por trás dos ataques que utilizam a tecnologia LLM para realizar suas operações maliciosas.
Entre os atores estatais apoiados pela China que utilizam IA estão Charcoal Typhoon (também conhecido como Aquatic Panda) e Salmon Typhoon (também conhecido como Maverick Panda). O primeiro explorou as ofertas da OpenAI para investigar várias empresas e suas ferramentas de cibersegurança, depurar código, gerar scripts e provavelmente produzir conteúdo para campanhas de phishing direcionadas. O último aproveitou os LLMs para tradução técnica, coletando dados publicamente acessíveis de várias agências de inteligência e pesquisando técnicas de evasão de defesa.
O grupo iraniano Tempestade de Areia Vermelha (também conhecido como Imperial Kitten) aproveitou os serviços da OpenAI para operações de script para auxiliar no desenvolvimento de aplicativos e web, para geração de conteúdo para lançar ataques de spear-phishing e buscar técnicas comuns para evasão de detecção.
O nefasto grupo de hackers norte-coreano, conhecido como THALLIUM (também conhecido como Emerald Sleet ou Kimusky), que recentemente foi visto em ataques contra a Coreia do Sul usando Troll Stealer e malware GoBear, também entrou em destaque. Hackers empregaram a tecnologia LLM para analisar falhas de segurança acessíveis ao público, auxiliar em operações de script simples e gerar conteúdo para campanhas de phishing.
Quanto às forças ofensivas russas, os pesquisadores identificaram traços de atividade maliciosa vinculada à Tormenta de Neve (também conhecida como APT28 ou Fancy Bear) hackers por trás da exploração das ofertas da OpenAI. Forest Blizzard foi observada realizando pesquisas de código aberto sobre protocolos de comunicação por satélite e tecnologia de imagem de radar, além de operações de script respaldadas por IA. Notavelmente, o APT28 foi observado lançando uma série de campanhas ofensivas contra organizações ucranianas juntamente com outros coletivos de hackers russos desde o início da guerra em grande escala na Ucrânia, comumente utilizando o vetor de ataque de phishing.
À medida que a evolução tecnológica impulsiona a necessidade de protocolos robustos de cibersegurança e segurança, a Microsoft publicou recentemente pesquisa cobrindo os princípios de mitigação de riscos associados ao uso de ferramentas de IA por grupos APT apoiados por Estados e hackers individuais. Esses princípios abrangem a identificação e resposta ao uso indevido de IA por forças ofensivas, notificação a outros provedores de serviços de IA, cooperação com partes interessadas relevantes para troca rápida de informações e manutenção da transparência.
A evolução contínua do ecossistema de ameaças foi impactada pelo poder da IA generativa, com defensores e agentes de ameaças igualmente se esforçando para obter uma vantagem competitiva no domínio cibernético. Seguir as melhores práticas de higiene cibernética apoiadas pela abordagem de confiança zero e aliadas à detecção proativa de ameaças ajuda os defensores a se manterem à frente dos adversários na era da IA. A SOC Prime promove o sistema coletivo de defesa cibernética baseado em inteligência de ameaças, código aberto, confiança zero e IA generativa. Equipe sua equipe com conteúdo de detecção curado contra ataques APT atuais e emergentes para se manter à frente dos adversários apoiados pela defesa cibernética coletiva em ação.
