Microsoft alerta que atores de ameaças apoiados pelo Estado estão usando IA em ataques

Os intervenientes estatais ligados à Rússia, à Coreia do Norte, ao Irão e à China estão a explorar a integração da inteligência artificial (IA) e de grandes modelos linguísticos (LLMs) para melhorar as suas operações existentes de ataques cibernéticos.

Um relatório publicado conjuntamente pela Microsoft e OpenAI revela que ambas as organizações interromperam os esforços de cinco atores afiliados ao Estado envolvidos em atividades cibernéticas maliciosas, encerrando os seus ativos e contas.

A Microsoft compartilhou com o The Hacker News que o suporte a idiomas é um recurso inerente aos LLMs, tornando-os atraentes para atores de ameaças focados em engenharia social e outras táticas que envolvem comunicações falsas e enganosas, adaptadas às redes profissionais, empregos e outros relacionamentos de seus alvos.

Embora nenhum ataque significativo ou novo utilizando LLMs tenha sido identificado até o momento, a exploração adversária de tecnologias de IA avançou através de diferentes estágios da cadeia de ataque, incluindo reconhecimento, assistência de codificação e desenvolvimento de malware.

Hackers usando IA para obter ajuda com código e coleta de informações

De acordo com o relatório, os intervenientes afiliados ao Estado procuraram aproveitar principalmente os serviços OpenAI para tarefas como consulta de informações de código aberto, tradução, localização de erros de codificação e execução de tarefas básicas de codificação.

Alguns exemplos de agentes de ameaças adicionais que abusam da IA estão abaixo:

• O grupo estatal russo conhecido como Forest Blizzard (ou APT28) utilizou serviços OpenAI para pesquisas de código aberto sobre protocolos de comunicação por satélite, tecnologia de imagem de radar e tarefas de script.
• O ator de ameaças norte-coreano Emerald Sleet (ou Kimusky) empregou LLMs para identificar especialistas, grupos de reflexão e organizações focadas em questões de defesa na região Ásia-Pacífico, bem como para tarefas de script e elaboração de conteúdo para potenciais campanhas de phishing.
• O ator de ameaças iraniano Crimson Sandstorm (ou Imperial Kitten) usou LLMs para criar trechos de código relacionados ao desenvolvimento de aplicativos e web, gerar e-mails de phishing e pesquisar maneiras pelas quais o malware poderia escapar da detecção.
• Os atores de ameaças chineses Charcoal Typhoon (ou Aquatic Panda) e Salmon Typhoon (ou Maverick Panda) utilizaram LLMs para várias tarefas, incluindo pesquisa de empresas e vulnerabilidades, geração de scripts, tradução de documentos técnicos e recuperação de informações sobre agências de inteligência.

A Microsoft está em processo de desenvolvimento de um conjunto de princípios para mitigar os riscos associados ao uso malicioso de ferramentas de IA e APIs por ameaças persistentes avançadas (APTs), manipuladores persistentes avançados (APMs) e sindicatos de criminosos cibernéticos. Esses princípios visam estabelecer proteções e mecanismos de segurança eficazes em torno dos modelos de IA.