Шкідливий інтелект: Сценарії злочинного використання ШІ

Майстер-клас: секрети випікання найсмачніших млинців!

13.08.2024

У продовження серії статей IT Specialist та «CLICO Україна», компанією-дистриб’ютором продуктів у сфері кібербезпеки, мережевих технологій та управління, підготували для вас матеріал з висновками зі звіту Recorded Future, міжнародної компанії, що спеціалізується на розвідці кіберзагроз. 

Огляд дослідження

Аналітики з кіберзагроз і інженери з відділу досліджень і розробок Recorded Future об'єднали зусилля, щоб протестувати чотири зловмисні сценарії використання штучного інтелекту (ШІ) і проілюструвати «мистецтво можливого» для кіберзлочинців. Вони перевірили обмеження і можливості сучасних моделей ШІ, починаючи від великих мовних моделей (LLMs) до мультимодальних моделей зображень і моделей перетворення тексту в мову (TTS). Усі дослідження проводилися з використанням комбінації комерційно доступних і відкритих моделей без налаштування або тренування, щоб змоделювати реалістичний доступ кіберзлочинців.
На основі результатів цих експериментів Recorded Future оцінює, що у 2024 році злочинці найімовірніше використовуватимуть цільові дипфейки і операції впливу. Дипфейки можна створювати за допомогою загальнодоступних інструментів для імітації керівників у кампаніях соціальної інженерії, поєднуючи згенероване ШІ аудіо та відео з програмами для відеоконференцій і VOIP. Витрати на створення контенту для операцій впливу можуть знизитися у 100 разів, а інструменти з підтримкою ШІ можуть допомогти клонувати справжні вебсайти або створювати фейкові медіаресурси.

Розробники шкідливого програмного забезпечення можуть використовувати ШІ разом з методами виявлення, такими як YARA-правила, щоб змінювати шкідливе ПЗ і уникати виявлення. Кіберзлочинці різних рівнів також можуть використовувати ШІ для розвідки, включаючи виявлення вразливого обладнання для промислових систем управління (ICS) і геолокацію чутливих об'єктів за допомогою відкритих джерел розвідки (OSINT).

Тенденції використання ШІ

Поточні обмеження зосереджуються на наявності відкритих моделей, які працюють на рівні передових (SOTA) моделей, і методах обходу безпекових обмежень на комерційних рішеннях. Враховуючи різноманітні застосування дипфейків і генеративних моделей ШІ, очікується, що кілька секторів зроблять значні інвестиції в ці технології, підвищуючи можливості відкритих інструментів. Подібна динаміка раніше спостерігалася у сфері інструментів для наступальної безпеки (OST), де кіберзлочинці використовували відкриті фреймворки або витік закритих інструментів, таких як Cobalt Strike.
Зниження витрат і часу ймовірно призведе до активнішого використання цих методів атаки різними кіберзлочинцями з різними технічними рівнями проти більшої кількості організацій. 

Цього року організаціям необхідно розширити уявлення про свою поверхню атаки, включаючи голоси і зовнішність своїх керівників, вебсайт і брендинг, а також публічні зображення об'єктів і обладнання. Крім того, організаціям необхідно почати підготовку до більш просунутих застосувань ШІ, таких як розробка самовдосконалюваного шкідливого ПЗ, здатного уникати виявлення за допомогою YARA, що вимагатиме впровадження більш прихованих методів виявлення, таких як Sigma або Snort.

Сценарії шкідливого використання ШІ

Сценарій I: Використання дипфейків для імітації керівників
Дипфейки дають змогу створювати реалістичні підробки відео та аудіо. Злочинці можуть використовувати дипфейки для імітації керівників організацій, що може мати серйозні фінансові та репутаційні наслідки.
● Відкриті технології дозволяють створювати попередньо записані дипфейки, використовуючи загальнодоступні відео та аудіо, такі як інтерв'ю та презентації.● Кіберзлочинці можуть використовувати короткі кліпи (менше 1 хвилини) для навчання моделей. Однак попередня обробка аудіо для досягнення найкращої якості все ще потребує людського втручання.● Більш просунуті сценарії, такі як живе клонування, ймовірно, вимагатимуть обходу захисних механізмів комерційних рішень, оскільки затримки у відкритих моделях обмежують їх ефективність для потокового аудіо та відео.
Сценарій II: Операції впливу з імітацією легітимних вебсайтів
Завдяки ШІ злочинці можуть створювати фейкові вебсайти, які виглядають як справжні. Це дозволяє їм поширювати дезінформацію та маніпулювати громадською думкою.
● ШІ може бути використаний для генерації дезінформації у великому масштабі, спрямовано на конкретну аудиторію, створюючи складні наративи для досягнення своїх цілей.● ШІ також може автоматично створювати зміст високої якості (наприклад, реальні зображення) на основі згенерованого тексту, допомагаючи клонувавати законні новинні та урядові вебсайти.● Вартість проведення кампаній дезінформації ймовірно знизиться у сто разів порівняно з традиційними фермами тролів і людськими авторами контенту.● Однак створення шаблонів для імітації справжніх вебсайтів є складним завданням, яке вимагає людського втручання для створення більш правдоподібних підробок.
Сценарій III: Саморозширюване шкідливе ПЗ, що уникає виявлення за допомогою YARA
Генеративний штучний інтелект може допомогти уникати виявлення за допомогою YARA-правил. Він може модифікувати вихідний код шкідливого програмного забезпечення, знижуючи рівень його виявлення.
● Однак сучасні моделі ШІ мають труднощі зі створенням синтаксично правильного коду, розв'язання проблем лінтингу та збереженням функціональності після шифрування коду.
Сценарій IV: Розвідка промислових систем управління та аерофотознімки
Мультимодальний ШІ може обробляти публічні зображення та відео для геолокації об'єктів і ідентифікації обладнання промислових систем управління (ICS). Це включає визначення виробників обладнання, моделей, програмного забезпечення та способів інтеграції з іншими системами.
● Перетворення цієї інформації в цільові дані для масштабного застосування є складним завданням. Для обробки цієї інформації для використання у фізичних чи кіберзагрозах все ще потрібен людський аналіз.

Оцінка ризиків і заходи безпеки

Виникнення «мистецтво можливого» підкреслює необхідність постійного оновлення методів кіберзахисту. Організаціям слід розширити уявлення про свою поверхню атаки, включаючи голоси та зображення керівників, вебсайти та брендінг. Важливо впроваджувати багаторівневі та поведінкові засоби виявлення шкідливих програм, а також постійно аналізувати доступні зображення та відео обладнання та об'єктів.
Голоси та образи керівників тепер стали частиною атакувальної поверхні організації. Організаціям потрібно оцінювати ризик імітації в цілеспрямованих атаках. Для великих платежів і чутливих операцій слід використовувати кілька методів комунікації і верифікації, окрім конференц-дзвінків і голосового IP-зв'язку, таких як зашифровані повідомлення або електронні листи.
Відстеження використання бренду
Організації, особливо у сфері медіа та публічного сектору, повинні відстежувати випадки використання їхнього бренду або контенту для проведення операцій впливу. Клієнти Recorded Future можуть використовувати модуль Brand Intelligence для відстеження нових реєстрацій доменів та онлайн-контенту, що використовує їхній бренд.
Захист критичної інфраструктури
Зображення та відео обладнання та об'єктів, доступні громадськості, особливо в критичній інфраструктурі та чутливих секторах, таких як оборона, уряд, енергетика, виробництво та транспорт, слід ретельно аналізувати і очищати, оскільки вони можуть бути використані для фізичних та кібератак.
Інвестування в засоби виявлення шкідливих програм
Організації повинні інвестувати в багаторівневі та поведінкові засоби виявлення шкідливих програм на випадок, якщо зловмисники зможуть розробляти шкідливі програми з підтримкою ШІ. Правила виявлення, опубліковані дослідниками з кібербезпеки, можуть бути використані для покращення шкідливих програм і уникнення їх виявлення. Sigma, Snort та складні правила YARA залишаться надійними індикаторами активності шкідливих програм у майбутньому.
Детальна інформація по кожному сценарію та повна версія звіту доступна за посиланням: https://go.recordedfuture.com/hubfs/reports/cta-2024-0319.pdf