Microsoft попереджає: організації, що загрожують мережам, все частіше використовують штучний інтелект для здійснення атак

IT之家3 березня повідомляє, що Microsoft заявляє: мережеві загрозливі організації все частіше використовують штучний інтелект у своїх діях, щоб прискорити атаки, розширити масштаб зловмисної діяльності та знизити технічний поріг для повного циклу кібератак.

Останній звіт від відділу розвідки загроз Microsoft вказує, що зловмисники застосовують генеративний штучний інтелект для різних завдань, зокрема для розвідки інформації, фішингу, створення інфраструктури для атак, розробки шкідливого програмного забезпечення та подальших дій після проникнення.

У більшості випадків штучний інтелект використовується для написання фішингових листів, перекладу контенту, підсумовування викрадених даних, налагодження шкідливого ПЗ та допомоги у створенні скриптів або налаштуванні інфраструктури для атак.

«Відділ розвідки загроз Microsoft зауважує, що більшість зловмисного використання штучного інтелекту зосереджено на застосуванні великих мовних моделей для генерації тексту, коду або мультимедійного контенту. Загрозливі організації використовують генеративний штучний інтелект для написання фішингових пасток, перекладу контенту, підсумовування викрадених даних, створення або налагодження шкідливого програмного забезпечення, а також для створення скриптів або інфраструктури для атак», — попереджає Microsoft. — «У цих випадках штучний інтелект виступає як потужний засіб підвищення ефективності, знижуючи технічний бар’єр і прискорюючи виконання, при цьому оператори зберігають контроль над ціллю атаки, об’єктами та рішеннями щодо розгортання».

Microsoft зафіксувала кілька випадків, коли мережеві організації інтегрували штучний інтелект у свої операції, зокрема північнокорейські групи, відомі як «Jasper Sleet (Storm0287)» та «Coral Sleet (Storm1877)», які використовують цю технологію для віддаленого проникнення в ІТ-інфраструктуру.

У таких операціях штучний інтелект допомагає створювати реалістичні особисті дані, резюме та комунікаційний контент для обману західних компаній щодо працевлаштування, а після працевлаштування — для підтримки доступу.

Організація «Jasper Sleet» використовує платформу генеративного штучного інтелекту для спрощення процесу створення фальшивих цифрових особистостей. Наприклад, учасники групи через підказки штучного інтелекту генерують списки імен та формати електронних адрес, що відповідають певному культурному контексту, щоб відповідати конкретним образам особистості. У цьому сценарії зловмисники можуть використовувати такі підказки:

Приклад підказки 1: «Згенерувати 100 імен у грецькому стилі».

Приклад підказки 2: «Використовуючи ім’я Jane Doe, створити набір форматів електронних адрес».

«Jasper Sleet» також використовує генеративний штучний інтелект для перегляду вакансій на платформах для розробників програмного забезпечення та ІТ-фахівців, витягує та підсумовує необхідні навички, щоб створювати фальшиві особистості, адаптовані під конкретні вакансії.

Звіт також описує, як штучний інтелект допомагає у розробці шкідливого ПЗ та створенні інфраструктури для атак: зловмисники використовують інструменти штучного інтелекту для генерації, оптимізації шкідливого коду, пошуку помилок або портативності компонентів шкідливого ПЗ на різних мовах програмування.

Деякі експерименти з шкідливим ПЗ вже демонструють ознаки використання штучного інтелекту, зокрема здатність динамічно генерувати скрипти або змінювати поведінку під час роботи.

Microsoft також зафіксувала, що група «Coral Sleet» швидко створює фальшиві сайти компаній, налаштовує інфраструктуру для атак і тестує або усуває несправності у розгорнутому контенті.

Зазначається, що коли системи безпеки штучного інтелекту намагаються запобігти цим зловмисним застосуванням, зловмисники використовують техніки обходу обмежень (джейлбрейк), щоб обдурити великі мовні моделі і змусити їх генерувати шкідливий код або контент.

Крім генеративного штучного інтелекту, дослідники Microsoft виявили, що зловмисники почали застосовувати агентні моделі штучного інтелекту для автономного виконання завдань і адаптації результатів.

Однак Microsoft зазначає, що наразі штучний інтелект здебільшого використовується для допомоги у прийнятті рішень, а не для запуску повністю автономних атак.

Оскільки багато атак через проникнення в ІТ-інфраструктуру базуються на зловживанні легальними правами, Microsoft рекомендує компаніям вважати такі шахрайські схеми та подібні дії внутрішніми ризиками.

Крім того, оскільки ці атаки, керовані штучним інтелектом, схожі на традиційні мережеві атаки, системи захисту мають зосередитися на виявленні аномального використання облікових даних, посиленні захисту систем ідентифікації для протидії фішингу, а також захисті систем штучного інтелекту, які можуть стати мішенню майбутніх атак.

IT之家 зауважує, що не лише Microsoft виявила зростання використання штучного інтелекту для атак і зниження порогу входу. Недавній звіт Google повідомляє, що зловмисники зловживають Gemini AI у всьому процесі кібератак, що збігається з спостереженнями Amazon у відповідних операціях. Amazon і блог Cyber and Ramen також повідомили про інцидент: один з зловмисних організацій використав кілька генеративних сервісів штучного інтелекту для зламування понад 600 пристроїв з фаєрволом FortiGate.