Staatsgesponsorde hackers uit verschillende landen gebruiken actief AI en LLM’s voor het ondersteunen van hun aanvalscampagnes. Microsoft en OpenAI delen hoe ze de gevonden informatie inzetten om de security van AI-tools te verbeteren.
Volgens Microsoft en OpenAI gebruiken staatsgesponsorde hackers steeds vaker AI en de onderliggende LLM’s om hun aanvallen te ondersteunen. In hun onderzoek constateerden beide techgiganten dat het vooral gaat om staatsgesponsorde hackers uit China, Iran, Noord-Korea en Rusland.
Vijf staatsgesponsorde hackersgroepen
OpenAI heeft de afgelopen tijd vijf kwaadaardige staatsgesponsorde hackersgroepen geïdentificeerd die misbruik van zijn generatieve AI-tools en LLM’s maakten voor het uitvoeren van offensieve aanvallen.
Concreet ging het hierbij om twee Chinese staatsgesponsorde hackerbendes; Charcoal Typhoon en Salmon Typhoon. In de andere landen ging het steeds om één bende. Namelijk de aan Iran gerelateerde bende Crimson Sandstorm, de aan Noord-Korea gekoppelde bende Emerald Sleet en de bende met Russische banden Forrest Blizzard.
Staatshackers beperken, security verhogen
Microsoft en OpenAI hebben inmiddels maatregelen genomen om het gebruik van hun generatieve AI-tools en onderliggende LLM’s door deze staatshackers te beperken. Naast het direct blokkeren van bovenstaande hackersbendes, hebben beide partijen ook een set van andere maatregelen opgesteld.
Beide partijen gaan nu voor de langere termijn staatshackergroepen in de gaten houden en investeren in technologie die dit mogelijk moet maken. Ook gaan ze nauwer samenwerken met het hele AI-ecosysteem om meer informatie over dit soort hackersgroepen uit te wisselen en hoe deze AI misbruiken.
Daarnaast gebruiken beide partijen nog meer de lessen uit deze acties voor het verbeteren van de security van hun AI-tooling en LLM’s. Op termijn moet dit steeds meer veilige AI-systemen opleveren, is de gedachte.
Tot slot geven beide bedrijven aan de publieke transparantie rondom staatsgesponsord misbruik van AI te willen vergroten. Informatie hierover zal meer worden gedeeld. Dit moet belanghebbenden en het publiek beter voorbereiden op dit soort bedreigingen en daarmee een groeiende ‘collectieve defensie’ tegen dit soort aanvallen opleveren.
Code- en phishingcontentcreatie
De Chinese bende Charcoal Typhoon gebruikte de generatieve AI-diensten van OpenAI onder meer voor onderzoek. Daarin werd gezocht naar te hacken bedrijven, cybersecurity tools, publieke informatie over verscheidene inlichtingendiensten. De tool werd verder ingezet voor het debuggen van code, het genereren van scripts en het maken van content voor mogelijk gebruik in phishingcampagnes.
Salmon Typhoon gebruikte de diensten voor het vertalen van technische documenten, het ophalen van publieke informatie over inlichtingendiensten en regionale ‘threat actors’, hulp bij coderen en onderzoek hoe processen op een systeem kunnen worden verborgen.
De Iranese bende Crimson Sandstorm misbruikte de diensten van OpenAI voor hulp bij het maken van scripts voor app- en webontwikkeling, het genereren van content voor mogelijke spearphishing-aanvallen en voor onderzoek hoe malware detectie kan omzeilen.
De Noord-Koreanen van Emerald Sleet deden onderzoek naar defensieorganisaties en -experts in de regio, onderzochten bekende softwarekwetsbaarheden, zochten hulp bij basic scripting-taken en het stelden content voor phishingcampagnes op.
Tot slot gebruikten de hackers van Forrest Blizzard de AI-tools voor meer begrip van satellietcommunicatieprotocollen, radartechnologie en scripting voor diverse vormen van malware.
Lees ook: Iraanse staatshackers voeren destructieve aanvallen op Israël uit