Actores de amenazas patrocinados por el estado utilizan modelos de lenguaje avanzados en ciberoperaciones

Recientemente, Microsoft y OpenAI han descubierto que varios actores de amenazas con vínculos estatales están utilizando modelos de lenguaje grandes (LLMs) para fortalecer sus operaciones de ciberseguridad.

Uso de LLMs en tareas cibernéticas

Similar a los defensores, los actores hostiles ahora también están empleando la inteligencia artificial, y más concretamente LLMs, para incrementar su eficacia y explorar todas las capacidades que ofrecen estas tecnologías.

Estos adversarios respaldados por estados nacionales usan los LLMs para:

• Inteligiencia militar rusa conocida como Forest Blizzard (STRONTIUM) - para obtener información sobre tecnologías de satélites y radares y mejorar sus técnicas de scripting relacionadas con operaciones militares en Ucrania.
• Actor de amenazas de Corea del Norte llamado Emerald Sleet (THALLIUM) - para investigar think tanks y expertos en Corea del Norte, crear contenido para campañas de phishing dirigido, entender vulnerabilidades conocidas públicamente, solucionar problemas técnicos y utilizar diferentes tecnologías web.
• Grupo de amenaza iraní denominado Crimson Sandstorm (CURIUM) - para recibir apoyo relacionado con ingeniería social, solución de errores, desarrollo en .NET y codificar para evitar la detección.
• Agente de amenaza chino con afiliación estatal Charcoal Typhoon (CHROMIUM) - para desarrollar herramientas, generar y refinar scripts, comprender tecnologías, plataformas y vulnerabilidades y crear contenido utilizado para ingeniería social.
• Agente de amenaza chino afiliado al estado Salmon Typhoon (SODIUM) - para resolver errores de programación, traducir y explicar documentos técnicos y términos, y recopilar información relacionada con temas sensibles, individuos notables, geopolítica regional, influencia de los EE. UU. y asuntos internos.

A pesar de estos usos, Microsoft y OpenAI no han observado técnicas de ataque o abuso habilitados por IA especialmente novedosos o únicos debido al uso que hacen los actores de amenazas de la IA. No obstante, estas organizaciones siguen vigilando de cerca el panorama, inactivando todas las cuentas y activos asociados con los diversos actores de amenazas identificados.

Contra el abuso de LLM

Microsoft y OpenAI están abogando por incluir los TTPs relacionados con LLM en el marco MITRE ATT&CK para ayudar a los equipos de seguridad a prepararse para amenazas relacionadas con la IA.

Microsoft también ha presentado principios para mitigar los riesgos del uso de sus herramientas y APIs de IA por amenazas persistentes avanzadas estatales (APTs), manipuladores persistentes avanzados (APMs) y sindicatos de cibercrimen:

• Identificación y acción contra el uso malicioso por parte de actores de amenazas
• Notificación a otros proveedores de servicios de inteligencia artificial.
• Colaboración con otros interesados​
• Transparencia (es decir, describirán las acciones tomadas bajo estos principios)

Es vital entender que aunque los atacantes seguirán interesados en la IA y examinarán las capacidades y controles de seguridad actuales, es importante mantener estos riesgos en contexto. Así como siempre, prácticas de higiene como la autenticación multifactor (MFA) y las defensas de confianza cero son esenciales, ya que los atacantes pueden usar herramientas basadas en IA para mejorar sus ciberataques existentes que dependen de la ingeniería social y la búsqueda de dispositivos y cuentas no asegurados.

ciberseguridad, inteligencia, tecnología