تستغل الجهات الفاعلة في تهديد الدولة القومية والمدعومة من حكومات الصين وإيران وكوريا الشمالية وروسيا نماذج اللغة الكبيرة (LLMs) التي تستخدمها خدمات الذكاء الاصطناعي التوليدية مثل ChatGPT من OpenAI، ولكن لم يتم استخدامها بعد في أي هجمات إلكترونية كبيرة، وفقًا إلى مركز معلومات التهديدات لـ Microsoft (MSTIC)
يعمل الباحثون في MSTIC جنبًا إلى جنب مع OpenAI – التي تتمتع Microsoft بها منذ فترة طويلة مثيرة للجدل في بعض الأحيان شراكة بمليارات الدولارات – لتتبع المجموعات المعادية المختلفة وتبادل المعلومات الاستخبارية حول الجهات التهديدية وتكتيكاتها وتقنياتها وإجراءاتها الناشئة (TTPs). تعمل كلتا المنظمتين أيضًا مع MITRE لدمج TTPs الجديدة في إطار MITRE ATT&CK وقاعدة معارف ATLAS.
قال MSTIC، إنه على مدى السنوات القليلة الماضية، كانت الجهات الفاعلة في مجال التهديد تتابع عن كثب تطور الاتجاهات في مجال التكنولوجيا بالتوازي مع المدافعين، ومثل المدافعين، كانوا ينظرون إلى الذكاء الاصطناعي كوسيلة لتعزيز إنتاجيتهم، ويستغلون منصات مثل ChatGPT التي يمكن أن تكون مفيدة. لهم.
وكتب فريق MSTIC: “تقوم مجموعات الجريمة السيبرانية، والجهات الفاعلة التي تهدد الدولة القومية، وغيرهم من الخصوم باستكشاف واختبار تقنيات الذكاء الاصطناعي المختلفة عند ظهورها، في محاولة لفهم القيمة المحتملة لعملياتهم والضوابط الأمنية التي قد يحتاجون إليها للتحايل”. في منشور مدونة تم نشره حديثًا يوضح تفاصيل عملهم حتى الآن.
“من ناحية المدافع، يعد تشديد الضوابط الأمنية نفسها ضد الهجمات وتنفيذ مراقبة متطورة بنفس القدر تتوقع الأنشطة الضارة وتمنعها أمرًا حيويًا.”
وقال الفريق إنه على الرغم من اختلاف دوافع الجهات الفاعلة في مجال التهديد وتطورها، إلا أن لديهم مهام مشتركة، مثل الاستطلاع والبحث والترميز وتطوير البرامج الضارة، وفي كثير من الحالات، تعلم اللغة الإنجليزية. يظهر الدعم اللغوي على وجه الخصوص كحالة استخدام رئيسية لمساعدة الجهات الفاعلة في مجال التهديد في الهندسة الاجتماعية والمفاوضات مع الضحايا.
ومع ذلك، قال الفريق، في وقت كتابة هذا التقرير، إن هذا يتعلق بالقدر الذي وصلت إليه الجهات الفاعلة في مجال التهديد. وكتبوا: “الأهم من ذلك، أن بحثنا مع OpenAI لم يحدد الهجمات المهمة التي تستخدم حاملي شهادات الماجستير الذين نراقبهم عن كثب”.
وأضافوا: “على الرغم من أن المهاجمين سيظلون مهتمين بالقدرات الحالية والضوابط الأمنية لتقنيات الذكاء الاصطناعي والتحقيق، فمن المهم إبقاء هذه المخاطر في سياقها. وكما هو الحال دائمًا، تعد ممارسات النظافة مثل المصادقة متعددة العوامل (MFA) ودفاعات Zero Trust ضرورية لأن المهاجمين قد يستخدمون أدوات قائمة على الذكاء الاصطناعي لتحسين هجماتهم السيبرانية الحالية التي تعتمد على الهندسة الاجتماعية والعثور على الأجهزة والحسابات غير الآمنة.
ماذا يملك كانوا يفعلون؟
شاركت MSTIC اليوم تفاصيل أنشطة خمس مجموعات من التهديد المستمر المتقدم (APT) تابعة لدول قومية تم القبض عليها متلبسًا أثناء اللعب باستخدام ChatGPT، واحدة من كل من إيران وكوريا الشمالية وروسيا واثنتان من الصين.
التهديد المستمر المستمر الإيراني، العاصفة الرملية القرمزية (المعروفة أيضًا باسم صدفة السلحفاة، القطة الإمبراطورية، Yellow Liderc)، المرتبط بالحرس الثوري الإسلامي في طهران (IRGC)، يستهدف قطاعات متعددة من خلال هجمات حفر المياه والهندسة الاجتماعية لتقديم برامج ضارة مخصصة من نوع .NET.
تضمنت بعض إغراءات الهندسة الاجتماعية التي أنشأتها LLM رسائل بريد إلكتروني تصيدية يُزعم أنها من وكالة تنمية دولية بارزة، وحملة أخرى حاولت جذب الناشطين النسويين إلى موقع ويب مزيف.
كما أنها استخدمت LLMs لإنشاء مقتطفات من التعليمات البرمجية لدعم تطوير التطبيقات ومواقع الويب، والتفاعل مع الخوادم البعيدة، واستخراج الويب، وتنفيذ المهام عندما يقوم المستخدمون بتسجيل الدخول. كما حاولت أيضًا استخدام LLMs لتطوير التعليمات البرمجية التي تمكنها من تجنب الكشف. ومعرفة كيفية تعطيل أدوات مكافحة الفيروسات.
APT الكورية الشمالية، Emerald Sleet (ويعرف أيضًا باسم كيمسوكي، فيلفيت تشوليما)، تفضل هجمات التصيد الاحتيالي لجمع المعلومات الاستخبارية من الخبراء في شؤون كوريا الشمالية، وغالبًا ما تتنكر في شكل مؤسسات أكاديمية ومنظمات غير حكومية لجذبهم.
يستخدم Emerald Sleet شهادات LLM إلى حد كبير لدعم هذا النشاط، بالإضافة إلى البحث في مراكز الأبحاث والخبراء في كوريا الشمالية، وتوليد إغراءات التصيد الاحتيالي. وقد شوهد أيضًا وهو يتفاعل مع LLMs لفهم نقاط الضعف التي تم الكشف عنها علنًا – على وجه الخصوص CVE-2022-30190، المعروف أيضًا باسم Follina، أداة تشخيص الدعم من Microsoft – لاستكشاف المشكلات الفنية وإصلاحها، وللحصول على المساعدة باستخدام تقنيات الويب المتنوعة.
APT الروسية، Forest Blizzard (المعروفة أيضًا باسم APT28، يتوهم الدب)، التي تعمل نيابة عن المخابرات العسكرية الروسية من خلال وحدة GRU 26165، تستخدم بنشاط LLMs لدعم الهجمات السيبرانية على أهداف في أوكرانيا.
من بين أمور أخرى، تم اكتشاف أنه يستخدم حاملي شهادات الماجستير في الاتصالات عبر الأقمار الصناعية وتقنيات التصوير الراداري التي قد تتعلق بالعمليات العسكرية التقليدية ضد أوكرانيا، ويطلب المساعدة في مهام البرمجة النصية الأساسية، بما في ذلك معالجة الملفات واختيار البيانات والتعبيرات العادية والمعالجة المتعددة. قالت MSTIC أن هذا قد يكون مؤشرًا على أن Forest Blizzard تحاول معرفة كيفية أتمتة بعض أعمالها.
APTs الصينيتان هما Charcoal Typhoon (المعروف أيضًا باسم Aquatic Panda وControlX وRedHotel وBronze University) وSalmon Typhoon (المعروف أيضًا باسم APT4 وMaverick Panda).
تتمتع Charcoal Typhoon بنطاق تشغيلي واسع يستهدف قطاعات رئيسية متعددة مثل الحكومة والاتصالات والوقود الأحفوري وتكنولوجيا المعلومات في البلدان الآسيوية والأوروبية، في حين تميل Salmon Typhoon إلى استهداف مقاولي الدفاع الأمريكيين والوكالات الحكومية والمتخصصين في تكنولوجيا التشفير.
تمت ملاحظة Charcoal Typhoon وهو يستخدم LLMs لاستكشاف زيادة ذكائه التقني، والبحث عن المساعدة في تطوير الأدوات، والبرمجة النصية، وفهم أدوات الأمن السيبراني للسلع، وتوليد إغراءات الهندسة الاجتماعية.
تستخدم شركة Salmon Typhoon أيضًا شهادات LLM بطريقة استكشافية، ولكنها تميل إلى محاولة استخدامها للحصول على معلومات حول موضوعات جيوسياسية حساسة تهم الصين، والأفراد البارزين، والنفوذ العالمي للولايات المتحدة والشؤون الداخلية. ومع ذلك، في مناسبة واحدة على الأقل، حاولت أيضًا إقناع ChatGPT بكتابة تعليمات برمجية ضارة – أشارت MSTIC إلى أن النموذج رفض المساعدة في هذا الأمر، تماشيًا مع ضماناته الأخلاقية.
تم تعليق حسابات جميع APTs المرصودة وإمكانية الوصول إلى ChatGPT.
