Microsoft und OpenAI enthüllen heute, dass Hacker bereits große Sprachmodelle wie ChatGPT nutzen, um ihre bestehenden Cyberangriffe zu verfeinern und zu verbessern. In neu veröffentlichten Forschungsergebnissen haben Microsoft und OpenAI Versuche russischer, nordkoreanischer, iranischer und chinesisch unterstützter Gruppen aufgedeckt, die Tools wie ChatGPT zur Erforschung von Zielen, zur Verbesserung von Skripten und zur Entwicklung von Social-Engineering-Techniken nutzen.
„Cyberkriminelle Gruppen, staatliche Bedrohungsakteure und andere Gegner erforschen und testen verschiedene KI-Technologien, sobald sie auftauchen, um den potenziellen Wert für ihre Abläufe und die Sicherheitskontrollen zu verstehen, die sie möglicherweise umgehen müssen“, sagt Microsoft in einem Blog heute posten.
Es wurde festgestellt, dass die Strontium-Gruppe, die mit dem russischen Militärgeheimdienst verbunden ist, LLMs einsetzt, „um Satellitenkommunikationsprotokolle, Radarbildtechnologien und spezifische technische Parameter zu verstehen“. Die Hackergruppe, auch bekannt als APT28 oder Fancy Bear, war während des Russland-Ukraine-Krieges aktiv und war zuvor daran beteiligt, Hillary Clintons Präsidentschaftswahlkampf im Jahr 2016 ins Visier zu nehmen.
Die Gruppe hat LLMs auch verwendet, um bei „grundlegenden Skriptaufgaben, einschließlich Dateimanipulation, Datenauswahl, regulären Ausdrücken und Mehrfachverarbeitung, zu helfen, um technische Abläufe potenziell zu automatisieren oder zu optimieren“, so Microsoft.
Eine nordkoreanische Hackergruppe namens Thallium nutzt LLMs, um öffentlich gemeldete Schwachstellen zu untersuchen und Organisationen anzugreifen, um bei grundlegenden Skriptaufgaben zu helfen und um Inhalte für Phishing-Kampagnen zu entwerfen. Microsoft sagt, dass die iranische Gruppe Curium LLMs auch verwendet hat, um Phishing-E-Mails und sogar Code zu generieren, um die Erkennung durch Antivirenanwendungen zu verhindern. Chinesische staatsnahe Hacker nutzen LLMs auch für Recherchen, Skripterstellung, Übersetzungen und zur Verfeinerung ihrer bestehenden Tools.
Es gab Befürchtungen hinsichtlich des Einsatzes von KI bei Cyberangriffen, insbesondere da KI-Tools wie WormGPT und FraudGPT auf den Markt gekommen sind, um bei der Erstellung bösartiger E-Mails und Cracking-Tools zu helfen. Ein hochrangiger Beamter der National Security Agency warnte letzten Monat außerdem, dass Hacker KI nutzen, um ihre Phishing-E-Mails überzeugender aussehen zu lassen.
Microsoft und OpenAI haben bisher keine „erheblichen Angriffe“ mit LLMs festgestellt, aber die Unternehmen haben alle mit diesen Hackergruppen verbundenen Konten und Vermögenswerte geschlossen. „Gleichzeitig sind wir der Meinung, dass die Veröffentlichung dieser Forschung wichtig ist, um frühe, schrittweise Schritte aufzudecken, die wir bei bekannten Bedrohungsakteuren beobachten, und um Informationen darüber, wie wir sie blockieren und ihnen entgegenwirken, mit der Verteidiger-Community zu teilen“, sagt er Microsoft.
Während der Einsatz von KI bei Cyberangriffen derzeit begrenzt zu sein scheint, warnt Microsoft vor zukünftigen Anwendungsfällen wie Sprachimitation. „KI-gestützter Betrug ist ein weiteres kritisches Problem. Ein Beispiel hierfür ist die Sprachsynthese, bei der ein dreisekündiges Sprachbeispiel ein Modell so trainieren kann, dass es wie jeder andere klingt“, sagt Microsoft. „Selbst etwas so Harmloses wie Ihre Voicemail-Begrüßung kann verwendet werden, um eine ausreichende Stichprobe zu erhalten.“
Natürlich nutzt die Lösung von Microsoft KI, um auf KI-Angriffe zu reagieren. „KI kann Angreifern dabei helfen, ihre Angriffe noch ausgefeilter zu gestalten, und sie verfügen über Ressourcen, die ihnen zur Verfügung stehen“, sagt Homa Hayatyfar, Principal Detection Analytics Manager bei Microsoft. „Das haben wir bei den über 300 Bedrohungsakteuren gesehen, die Microsoft verfolgt, und wir nutzen KI zum Schutz, zur Erkennung und zur Reaktion.“
Microsoft entwickelt einen Security Copilot, einen neuen KI-Assistenten, der für Cybersicherheitsexperten entwickelt wurde, um Verstöße zu erkennen und die riesigen Mengen an Signalen und Daten, die täglich durch Cybersicherheitstools generiert werden, besser zu verstehen. Der Softwareriese überarbeitet außerdem seine Softwaresicherheit, nachdem große Angriffe auf die Azure-Cloud stattgefunden haben und sogar russische Hacker Microsoft-Führungskräfte ausspioniert haben.