Çin, İran, Kuzey Kore ve Rusya hükümetleri tarafından desteklenen ulus devlet tehdit aktörleri, OpenAI’nin ChatGPT’si gibi üretken yapay zeka hizmetleri tarafından kullanılan büyük dil modellerinden (LLM’ler) yararlanıyor ancak henüz herhangi bir önemli siber saldırıda kullanılmadı. Microsoft Tehdit İstihbarat Merkezi’ne (MSTIC)
MSTIC’teki araştırmacılar, çeşitli düşman grupları izlemek ve tehdit aktörleri ile bunların ortaya çıkan taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında istihbarat paylaşmak için Microsoft’un uzun süredir devam eden ve zaman zaman tartışmalı milyarlarca dolarlık bir ortaklığa sahip olduğu OpenAI ile el ele çalışıyor. ). Her iki kuruluş da bu yeni TTP’leri MITRE ATT&CK çerçevesine ve ATLAS bilgi tabanına entegre etmek için MITRE ile birlikte çalışıyor.
MSTIC, son birkaç yıldır tehdit aktörlerinin savunucularla paralel olarak teknolojideki gelişen trendleri yakından takip ettiğini ve savunucular gibi yapay zekaya üretkenliklerini artırmanın ve faydalı olabilecek ChatGPT gibi platformlardan yararlanmanın bir yöntemi olarak baktıklarını söyledi. onlara.
MSTIC ekibi şöyle yazdı: “Siber suç grupları, ulus-devlet tehdit aktörleri ve diğer düşmanlar, operasyonlarının potansiyel değerini ve aşmaları gerekebilecek güvenlik kontrollerini anlamak amacıyla farklı yapay zeka teknolojilerini ortaya çıktıkça araştırıyor ve test ediyorlar.” bugüne kadarki çalışmalarını detaylandıran yeni yayınlanan bir blog yazısında.
“Savunma tarafında, aynı güvenlik kontrollerini saldırılara karşı güçlendirmek ve kötü niyetli faaliyetleri öngören ve engelleyen aynı derecede gelişmiş izlemeyi uygulamak hayati önem taşıyor.”
Ekip, farklı tehdit aktörlerinin motivasyonları ve karmaşıklıkları farklılık gösterse de keşif ve araştırma, kodlama ve kötü amaçlı yazılım geliştirme ve çoğu durumda İngilizce öğrenmek gibi ortak görevlere sahip olduklarını söyledi. Özellikle dil desteği, tehdit aktörlerine sosyal mühendislik ve mağdur müzakerelerinde yardımcı olmak için önemli bir kullanım alanı olarak ortaya çıkıyor.
Ancak ekip, bu yazının yazıldığı sırada tehdit aktörlerinin bu noktaya kadar geldiğini söyledi. Şöyle yazdılar: “Önemlisi, OpenAI ile yaptığımız araştırmada, yakından izlediğimiz LLM’leri kullanan önemli saldırılar tespit edilmedi.”
Şunları eklediler: “Saldırganlar yapay zeka ve araştırma teknolojilerinin mevcut yetenekleri ve güvenlik kontrolleriyle ilgilenmeye devam edecek olsa da, bu riskleri bağlam içinde tutmak önemlidir. Her zaman olduğu gibi, çok faktörlü kimlik doğrulama (MFA) ve Sıfır Güven savunmaları gibi hijyen uygulamaları hayati önem taşıyor çünkü saldırganlar, sosyal mühendisliğe ve güvenli olmayan cihaz ve hesapları bulmaya dayanan mevcut siber saldırılarını geliştirmek için yapay zeka tabanlı araçlar kullanabilir.”
Ne sahip olmak yapıyorlar mıydı?
MSTIC bugün, ChatGPT ile suçüstü yakaladığı İran, Kuzey Kore, Rusya ve Çin’den iki ulus devlet gelişmiş kalıcı tehdit (APT) grubunun faaliyetlerinin ayrıntılarını paylaştı.
Tahran’ın İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı olan İran APT, Crimson Sandstorm (diğer adıyla Tortoiseshell, Imperial Kitten, Yellow Liderc), özel .NET kötü amaçlı yazılımları sunmak için sulama deliği saldırıları ve sosyal mühendislikle birden fazla dikey alanı hedef alıyor.
Yüksek Lisans tarafından oluşturulan sosyal mühendislik tuzaklarından bazıları arasında önde gelen bir uluslararası kalkınma ajansından geldiği iddia edilen kimlik avı e-postaları ve feminist aktivistleri sahte bir web sitesine çekmeye çalışan başka bir kampanya yer alıyor.
Ayrıca uygulamaların ve web sitelerinin geliştirilmesini desteklemek, uzak sunucularla etkileşimde bulunmak, web’i kazımak ve kullanıcılar oturum açtığında görevleri yürütmek amacıyla kod parçacıkları oluşturmak için LLM’leri kullandı. Ayrıca tespitten kaçmasını sağlayacak kod geliştirmek için LLM’leri kullanmaya çalıştı. ve antivirüs araçlarının nasıl devre dışı bırakılacağını öğrenmek.
Kuzey Kore APT’si Emerald Sleet (aka Kimsuky, Velvet Chollima), Kuzey Kore uzmanlarından istihbarat toplamak için hedef odaklı kimlik avı saldırılarını destekliyor ve çoğu zaman onları cezbetmek için akademik kurumlar ve STK’lar gibi davranıyor.
Emerald Sleet, yüksek lisans eğitimlerini büyük ölçüde bu aktiviteyi desteklemek, aynı zamanda Kuzey Kore’deki düşünce kuruluşları ve uzmanlara yönelik araştırmaları ve kimlik avı tuzakları oluşturmak için kullanıyor. Ayrıca teknik sorunları gidermek ve çeşitli web teknolojilerini kullanma konusunda yardım almak için kamuya açıklanan güvenlik açıklarını (özellikle CVE-2022-30190, diğer adıyla Follina, Microsoft Destek Teşhis Aracı’ndaki sıfır gün) anlamak için LLM’lerle etkileşime girdiği de görüldü.
GRU Birimi 26165 aracılığıyla Rus askeri istihbaratı adına faaliyet gösteren Rus APT, Forest Blizzard (aka APT28, Fancy Bear), Ukrayna’daki hedeflere yönelik siber saldırıları desteklemek için LLM’leri aktif olarak kullanıyor.
Diğer şeylerin yanı sıra, Ukrayna’ya karşı yapılan geleneksel askeri operasyonlarla ilgili olabilecek, dosya manipülasyonu, veri seçimi, düzenli ifadeler ve çoklu işleme de dahil olmak üzere temel komut dosyası yazma görevlerinde yardım isteyebilecek uydu iletişimi ve radar görüntüleme teknolojilerinde yüksek lisans kullanırken yakalandı. MSTIC, bunun Forest Blizzard’ın bazı işlerini nasıl otomatikleştireceğini bulmaya çalıştığının bir göstergesi olabileceğini söyledi.
Çin’deki iki APT, Charcoal Typhoon (diğer adıyla Aquatic Panda, ControlX, RedHotel, Bronze University) ve Salmon Typhoon’dur (diğer adıyla APT4, Maverick Panda).
Charcoal Typhoon, Asya ve Avrupa ülkelerinde hükümet, iletişim, fosil yakıtlar ve bilgi teknolojisi gibi birçok önemli sektörü hedef alan geniş bir operasyonel kapsama sahipken Salmon Typhoon, ABD’li savunma yüklenicilerini, devlet kurumlarını ve kriptografik teknoloji uzmanlarını tercih etme eğilimindedir.
Charcoal Typhoon’un teknik bilgisini artırmayı keşfetmek, araç geliştirme, komut dosyası oluşturma, emtia siber güvenlik araçlarını anlama ve sosyal mühendislik cazibesi oluşturma konularında yardım aramak için Yüksek Lisans’ları kullandığı gözlemlendi.
Salmon Typhoon da yüksek lisans eğitimlerini keşif amaçlı kullanıyor ancak bunları Çin’i, yüksek profilli kişileri ve ABD’nin küresel nüfuzunu ve içişlerini ilgilendiren hassas jeopolitik konular hakkında bilgi kaynağı olarak kullanma eğiliminde. Ancak en az bir kez ChatGPT’nin kötü amaçlı kod yazmasını sağlamaya çalıştı; MSTIC, modelin etik güvenceler doğrultusunda bu konuda yardımcı olmayı reddettiğini belirtti.
Gözlemlenen tüm APT’lerin hesapları ve ChatGPT’ye erişimleri askıya alındı.