Các nhóm hack do chính phủ hậu thuẫn từ Iran, Trung Quốc, Bắc Triều Tiên và Nga đang ngày càng chuyển sang các công cụ AI thế hệ như Google Gemini để tinh chỉnh các hoạt động mạng của họ, theo một báo cáo mới từ Tập đoàn tình báo đe dọa Google Google (GTIG).
Phát hiện chỉ ra rằng AI chưa cho phép tin tặc tạo ra các phương pháp tấn công mới về cơ bản nhưng đang tăng cường các chiến thuật hiện có bằng cách cải thiện hiệu quả, tự động hóa và khả năng mở rộng. Người đóng thế tuyên truyền được hỗ trợ liên quan đến CyberSpionage và có thể giết người
Trong số tất cả các diễn viên mạng được nhà nước hậu thuẫn, các nhóm hack Iran đã nổi lên như một trong những người chấp nhận trí tuệ nhân tạo mạnh mẽ nhất, với apt42 Dẫn đầu khoản phí trong các hoạt động mạng AI-AI-AI-AI-AI. Trinh sát và tự động hóa các chiến thuật kỹ thuật xã hội./p>
Một trong những cách quan trọng nhất AI đang tăng cường các hoạt động mạng của Iran là thông qua lừa đảo. Bằng cách khai thác các mô hình AI thế hệ, các diễn viên đe dọa Iran có thể tạo ra các email lừa đảo rất thuyết phục bằng nhiều ngôn ngữ, bao gồm tiếng Anh, tiếng Do Thái và Farsi.
Liên quan: AI-AI-AI-ASSED GROUP FUNKSEC DRIVES Các cuộc tấn công mạng phá kỷ lục vào tháng 12 năm 2024
Các email này được thiết kế để mạo danh các thực thể đáng tin cậy như các quan chức bảo mật, Các nhà ngoại giao, và các giám đốc điều hành cấp cao, khiến họ khó phát hiện hơn nhiều so với các nỗ lực lừa đảo truyền thống.
Sự tinh tế của nội dung lừa đảo do AI tạo ra cho phép những kẻ tấn công điều chỉnh các thông điệp cho các cá nhân hoặc tổ chức cụ thể, tăng khả năng vi phạm thành công. Việc sử dụng AI cho phép những kẻ tấn công nhanh chóng tạo ra các biến thể của các thông điệp lừa đảo, giúp chúng trốn tránh phát hiện bằng các hệ thống lọc email dựa vào việc nhận ra các mẫu lặp lại. Nó để thu thập thông tin tình báo về các tổ chức quốc phòng phương Tây, các công ty an ninh mạng và các cơ quan chính phủ. Trinh sát AI được tăng cường cho phép tin tặc Iran quét thông tin có sẵn công khai, trích xuất các chi tiết liên quan và xác định các lỗ hổng trong cơ sở hạ tầng kỹ thuật số mục tiêu của họ.
Mức độ tự động hóa này hợp lý hóa quá trình thu thập thông minh, cho phép kẻ tấn công xác định các mục tiêu có giá trị cao với tốc độ và độ chính xác cao hơn. Khả năng xử lý khối lượng dữ liệu lớn cũng hỗ trợ trong việc lập bản đồ cấu trúc tổ chức, mối quan hệ nhân sự và chính sách bảo mật, cho tin tặc hiểu sâu hơn về mục tiêu của họ trước khi tiến hành các cuộc tấn công. là các chiến dịch thông tin sai lệch. Iran từ lâu đã dựa vào các hoạt động tuyên truyền và ảnh hưởng đến các mục tiêu địa chính trị của nó, và AI đã giúp nó dễ dàng sản xuất, dịch và phân phối các câu chuyện sai hoặc sai lệch hơn. Nhấp vào tỷ lệ gấp ba năm 2024 Khi tội phạm mạng khai thác AI
Bằng cách sử dụng nội dung do AI tạo, các diễn viên Iran có thể tạo ra các bài báo tin tức giả, thao tác các bài đăng trên phương tiện truyền thông xã hội và các video Deepfake được thiết kế để thay đổi ý kiến công chúng, làm mất uy tín và thao túng tường thuật.
Báo cáo nhấn mạnh rằng các nỗ lực thông tin sai lệch do AI chủ yếu nhắm vào các đối thủ Trung Đông và các nhà hoạch định chính sách phương Tây, phù hợp với chiến lược rộng lớn hơn về ảnh hưởng chính trị và chiến tranh tâm lý của Iran. đặc biệt đầu tư vào việc sử dụng AI để tạo ra các email thực tế, nhận thức theo ngữ cảnh bỏ qua các biện pháp phát hiện truyền thống. Khả năng này đã làm cho các chiến dịch lừa đảo hỗ trợ AI hơn thuyết phục và khó khăn hơn để ngăn chặn, làm tăng mối lo ngại về khả năng phòng thủ an ninh mạng truyền thống để theo kịp các chiến thuật phát triển.
trên 30% sử dụng Gemini của các diễn viên APT của Iran có liên quan đến APT42″, báo cáo nêu rõ mức độ mà AI đã trở thành một công cụ không thể thiếu trong việc tinh chỉnh các chiến lược tấn công mạng của Iran.
Một trong những khía cạnh đáng lo ngại nhất của việc sử dụng AI của Iran là ứng dụng của nó trong nghiên cứu dễ bị tổn thương. Quản lý (WinRM) và các giao thức truy cập từ xa/p>
Liên quan: Microsoft cho biết các cuộc tấn công mạng điều khiển AI-điều khiển tăng lên hơn 600 triệu sự cố hàng ngày
Khả năng tự động hóa nghiên cứu dễ bị tổn thương có nghĩa là các nhóm Iran có thể khám phá và khai thác bảo mật Các lỗ hổng trước khi các bản vá được phát triển, làm tăng hiệu quả của các cuộc tấn công của chúng. không có sửa chữa ngay lập tức.
Khai thác các lỗ hổng này cho phép những kẻ tấn công có quyền truy cập ban đầu vào các mạng lưới công ty và chính phủ, cho phép xâm nhập hơn nữa, giải phóng dữ liệu hoặc phá hoại.
Việc sử dụng AI trong việc hợp lý hóa việc trinh sát, lừa đảo và nghiên cứu dễ bị tổn thương cho thấy các hoạt động mạng Iran đang trở nên hiệu quả hơn, được nhắm mục tiêu và có thể mở rộng, củng cố nhu cầu cấp bách đối với các biện pháp phòng thủ nâng cao chống lại các mối đe dọa trên mạng AI-hỗ trợ.
Trung Quốc: Trinh sát và khai thác mạng AI-hỗ trợ AI
Các nhóm hack do nhà nước Trung Quốc tài trợ Khả năng gián điệp mạng của họ.
Theo Nhóm tình báo mối đe dọa của Google (GTIG), việc sử dụng AI của Trung Quốc chủ yếu tập trung vào việc thu thập thông tin tình báo thay vì các cuộc tấn công mạng phá hủy, củng cố cách tiếp cận lâu dài của nó để xâm nhập mạng.
Không giống như sự phụ thuộc của Iran vào AI để lừa đảo và kỹ thuật xã hội, tin tặc của Trung Quốc đã triển khai các mô hình AI để lập bản đồ các mạng mục tiêu, phân tích dữ liệu tình báo và tối ưu hóa các hoạt động sau khi kết hợp.
Một khía cạnh quan trọng Chiến lược mạng AI-hỗ trợ của Trung Quốc liên quan đến việc quét và lập bản đồ các mạng lưới quốc phòng và chính phủ Hoa Kỳ để xác định các lỗ hổng có thể được khai thác để tiếp cận dai dẳng. Các công cụ AI đã cho phép các nhóm hack của Trung Quốc tự động hóa các nỗ lực trinh sát, đẩy nhanh quá trình phân tích cấu trúc mạng, xác định các điểm yếu và lập danh mục các điểm cuối lộ ra.
Những nỗ lực này không chỉ giới hạn trong cơ sở hạ tầng mạng; Những kẻ tấn công cũng đã sử dụng AI để xử lý và trích xuất những hiểu biết từ Trí thông minh nguồn mở (OSINT), cho phép họ xác định các quan chức tình báo, nhân viên quốc phòng và các mục tiêu có giá trị cao khác.
Báo cáo GTIG xác nhận rằng tin tặc Trung Quốc đã sử dụng Google Gemini để hỗ trợ nghiên cứu các mục tiêu quân sự và chính phủ, tập trung vào việc thu thập trí thông minh tổ chức có thể tạo điều kiện cho các nỗ lực gián điệp lâu dài. Các tin tặc đã tìm kiếm thông tin về nhân viên quân sự Hoa Kỳ, các chuyên gia an ninh mạng và những người trong cộng đồng tình báo, thể hiện một ý định rõ ràng nhằm tăng cường các hoạt động phản gián của Trung Quốc.
AI-điều khiển Xử lý Osint đã cung cấp cho các tác nhân này khả năng quét nhanh số lượng dữ liệu công khai có sẵn, giúp theo dõi các phong trào nhân sự, hiểu các mối quan hệ trong các cơ quan bảo mật và dự đoán các lỗ hổng tiềm năng dễ dàng hơn và dự đoán các lỗ hổng tiềm năng Trong các hoạt động được phân loại. Báo cáo Google Google lưu ý rằng các diễn viên APT của Trung Quốc đã sử dụng Song Tử để tiến hành trinh sát, để viết kịch bản và phát triển, để khắc phục sự cố và nghiên cứu cách truy cập sâu hơn vào các mạng mục tiêu.
Các tập lệnh do AI tạo ra cho phép những kẻ tấn công thích nghi với các biện pháp bảo mật hiệu quả hơn, đặc biệt khi cố gắng duy trì quyền truy cập vào các hệ thống trí thông minh có giá trị cao. Khả năng sử dụng AI để khắc phục sự cố môi trường bị xâm phạm có nghĩa là những kẻ tấn công có thể điều chỉnh các chiến lược của chúng trong thời gian thực, tránh phát hiện và tinh chỉnh các kỹ thuật của chúng dựa trên các biện pháp bảo mật được quan sát. là nỗ lực của Trung Quốc để trích xuất các chi tiết nội bộ về cơ sở hạ tầng AI của Google. Các tin tặc được tìm thấy là truy vấn Song Tử cho thông tin cấp hệ thống, bao gồm các chi tiết trên các phiên bản kernel, địa chỉ IP và cấu hình mạng.
Các biện pháp bảo mật của Google đã chặn thành công các nỗ lực này, nhưng sự kiện nhấn mạnh sự quan tâm của Trung Quốc trong việc hiểu các hoạt động bên trong của các hệ thống AI phương Tây. Điều này phù hợp với những lo ngại rộng hơn rằng Trung Quốc có thể tìm cách tái tạo hoặc chống lại các tiến bộ AI của phương Tây bằng cách xâm nhập vào môi trường nghiên cứu và phát triển AI thương mại.
Google cho thấy chiến lược mạng của Trung Quốc ưu tiên với các đánh giá tình báo trước đây của Hoa Kỳ. Thay vì phát động các cuộc tấn công công khai có thể gây ra sự trả thù, Trung Quốc dường như đang đặt nền tảng cho việc tiếp cận bền vững vào cơ sở hạ tầng quan trọng của Hoa Kỳ, đảm bảo rằng nó có thể tận dụng các cuộc xâm nhập mạng để thu thập thông tin tình báo, gián điệp kinh tế và lợi thế chiến lược trong các cuộc xung đột địa chính trị trong tương lai.
>
Trong khi Google đã thực hiện các biện pháp đối phó để phát hiện và ngăn chặn lạm dụng AI, sự tinh vi ngày càng tăng của việc trinh sát và khai thác mạng được hỗ trợ một lần đưa ra một thách thức tiếp tục đối với các chuyên gia an ninh quốc gia và an ninh mạng trên toàn thế giới.
Nga: Vai trò tối thiểu của AI trong hack do nhà nước tài trợ
Vẫn còn tương đối hạn chế trong các hoạt động hack trực tiếp. Không giống như các quốc gia khác đã tận dụng AI để lừa đảo, xâm nhập mạng và nghiên cứu dễ bị tổn thương, sự tham gia của Nga với AI dường như tập trung hơn vào chiến tranh thông tin và lừa dối kỹ thuật số thay vì các cuộc tấn công mạng trực tiếp. Sử dụng tối thiểu các công cụ điều khiển AI cho các hoạt động mạng kỹ thuật, một sự tương phản rõ rệt với các vụ lừa đảo và trinh sát hỗ trợ AI-khối lượng lớn được quan sát thấy ở Iran và Trung Quốc.
Tuy nhiên, thay vì tập trung vào các cuộc tấn công trực tiếp, các diễn viên Nga đã thử nghiệm tuyên truyền do AI tạo ra, công nghệ Deepfake và thao túng phương tiện truyền thông xã hội tự động, đặc biệt là liên quan đến Ukraine, NATO và các câu chuyện địa chính trị phương Tây rộng lớn hơn. <
Theo báo cáo, hoạt động AI của Nga dường như tập trung một cách không tương xứng vào các hoạt động ảnh hưởng hơn là các kỹ thuật xâm nhập mạng.”Điều này cho thấy chiến lược mạng của Kremlin vẫn bắt nguồn từ các cuộc tấn công dựa trên phần mềm độc hại truyền thống, hoạt động gián điệp và hoạt động gián điệp và hoạt động lao động và hoạt động gián điệp và Sổ chơi các chiến dịch thông tin sai lệch lâu dài của nó/p>
Điều này có nghĩa là mặc dù Nga có thể không sử dụng AI để tạo ra các phương thức tấn công mạng mới, nhưng có khả năng việc triển khai AI để làm cho phần mềm độc hại khó phát hiện hơn. Các kỹ thuật mã hóa được tăng cường AI có thể cho phép các biến thể phần mềm độc hại trốn tránh các biện pháp bảo mật truyền thống bằng cách thay đổi các mẫu mã tự động, một cách tiếp cận đã được quan sát trong các chiến dịch đe dọa liên tục (APT) được quy cho các nhóm hack của Nga. Về thông tin sai lệch do AI, Nga đã thể hiện một cách tiếp cận tích cực và tinh vi hơn nhiều. Báo cáo GTIG nhấn mạnh rằng các hoạt động ảnh hưởng của Nga đã tận dụng AI để tạo và khuếch đại tuyên truyền ở quy mô, tạo ra các bài báo tin tức tổng hợp, các phương tiện truyền thông xã hội do AI tạo ra và thậm chí nội dung Deepfake để thao túng nhận thức của công chúng. Các tác nhân đe dọa của Nga sử dụng nội dung do AI tạo ra để tăng cường nhắn tin được nhà nước hậu thuẫn và mở rộng phạm vi của các chiến dịch ảnh hưởng của họ”, báo cáo cho biết, AI đã đóng một vai trò trong việc tự động hóa và tinh chỉnh những nỗ lực lâu dài của Nga trong tuyên truyền kỹ thuật số.
Một trọng tâm của các hoạt động ảnh hưởng của AI của Nga là những câu chuyện kể của nó xung quanh Ukraine và NATO, đã được phổ biến rộng rãi trên các nền tảng truyền thông xã hội. Các chính sách và nhận thức công khai về xung đột quân sự./p>
Mặc dù sự miễn cưỡng của Nga trong việc tích hợp AI vào các hoạt động hack trực tiếp khiến nó khác biệt với Trung Quốc và Iran, việc sử dụng AI nặng nề cho các chiến dịch ảnh hưởng kỹ thuật số làm nổi bật một cách tiếp cận phát triển đối với chiến tranh thông tin. Các phát hiện của Google chỉ ra rằng Nga có thể không sử dụng AI để đột nhập vào các hệ thống, nhưng nó chắc chắn đang sử dụng nó để định hình các câu chuyện toàn cầu, thao túng dư luận và duy trì chiến thuật chiến tranh lai của mình. và ảnh hưởng đến các hoạt động
ngoài việc hack, AI ngày càng được sử dụng cho các chiến dịch ảnh hưởng được nhà nước hỗ trợ, thông tin tự động và tạo tuyên truyền. Theo báo cáo của Google, Iran, Trung Quốc và Nga đều đã thử nghiệm AI cho các nỗ lực thao túng xã hội. Các nhóm hoạt động thông tin của Trung Quốc và Iran (IO) có:
đã sử dụng nội dung do AI tạo ra để nhắn tin chính trị bằng nhiều ngôn ngữ. sử dụng các kỹ thuật SEO chạy bằng AI để khuếch đại khả năng hiển thị tin tức giả. Sáng tạo nhân cách tự động để ảnh hưởng đến các cuộc thảo luận trên phương tiện truyền thông xã hội.
Như báo cáo của Google nêu rõ, các diễn viên IO đã cố gắng sử dụng Song Tử để nghiên cứu, tạo nội dung bao gồm phát triển personas và nhắn tin, dịch thuật và bản địa hóa và tìm cách tăng phạm vi tiếp cận của họ.”
Điều này phù hợp với Các báo cáo trước đây cho thấy tin tức giả tạo do AI tạo ra đang được sử dụng để làm suy yếu niềm tin của công chúng trong các tổ chức dân chủ. Các chiến dịch tiên tiến hơn trong việc sử dụng AI. và các chính phủ phương Tây. Hệ sinh thái. Tương mạng quyền lực. Tuy nhiên, mối đe dọa ngày càng tăng do các mô hình AI nguồn mở khó khăn hơn. Google đã triển khai:
Điều khiển bảo mật trong Gemini để ngăn AI tạo ra mã độc. Kết thúc tài khoản cho các hoạt động nhóm hack được xác định . AI theo dõi lạm dụng thông qua AI Framework an toàn (SAF) .
Tuy nhiên, như Kent Walker, giám đốc pháp lý của Google, cảnh báo, America America nắm giữ vị trí dẫn đầu trong cuộc đua AI, nhưng lợi thế của chúng tôi có thể không kéo dài.
Khi AI tiếp tục phát triển, bản chất sử dụng kép của nó sẽ tạo ra cả cơ hội và rủi ro. hoạt động.