Theo báo cáo chung của OpenAI và Microsoft, ít nhất 05 nhóm tin tặc được nhà nước hậu thuẫn đang cố gắng sử dụng các công cụ trí tuệ nhân tạo (AI), bao gồm cả ChatGPT để tinh chỉnh và hỗ trợ trong các chiến dịch tấn công mạng, đặc biệt là trong các cuộc tấn công lừa đảo và kỹ nghệ xã hội.
Đã có những lo ngại về việc sử dụng AI trong các cuộc tấn công mạng, đặc biệt khi các công cụ AI như WormGPT và FraudGPT xuất hiện để hỗ trợ tạo ra các email độc hại và các công cụ bẻ khóa. OpenAI đã thực hiện hành động nhằm ngăn chặn các tài khoản cụ thể có liên quan đến các nhóm tin tặc đang lạm dụng dịch vụ mô hình ngôn ngữ lớn (LLM) của họ cho mục đích độc hại sau khi nhận được thông tin chia sẻ quan trọng từ nhóm tình báo mối đe dọa (Threat Intelligence) của Microsoft.
Trong một báo cáo riêng, Microsoft đã cung cấp thêm chi tiết về cách thức và lý do tại sao các tác nhân đe dọa nâng cao này lại sử dụng ChatGPT. “Ưu tiên của Microsoft và OpenAI là bảo vệ nền tảng dịch vụ và khách hàng. Trong bối cảnh đó, các nhóm bảo mật tiếp tục nghiên cứu về hành vi của các tài khoản, địa chỉ IP và cơ sở hạ tầng để tìm hiểu các phương pháp và khả năng của kẻ tấn công, có thể bao gồm chặn các kết nối độc hại và vô hiệu hóa các tài khoản cũng như dịch vụ độc hại mà kẻ tấn công sử dụng vi phạm điều khoản dịch vụ của nhà cung cấp”, ông Sherrod DeGrippo, Giám đốc chiến lược thông tin về mối đe dọa của Microsoft cho biết.
Cụ thể, hoạt động liên quan đến các nhóm tin tặc sau đã bị ngăn chặn:
- Forest Blizzard (nhóm tin tặc Nga): Hay còn được gọi là APT28, đây là nhóm gián điệp mạng tinh vi có liên kết với Cơ quan Tình báo Quân đội Nga (GRU), đã sử dụng ChatGPT để tiến hành nghiên cứu và trinh sát liên quan đến công nghệ hình ảnh radar và các giao thức liên lạc vệ tinh phù hợp với các hoạt động quân sự của Nga tại Ukraine, cũng như nhằm tối ưu hóa các hoạt động trên không gian mạng bằng các cải tiến về kỹ thuật tấn công.
Bên cạnh đó, các nhà nghiên cứu của Microsoft còn cho biết nhóm tin tặc Forest Blizzard còn sử dụng LLM để hỗ trợ thực hiện các tác vụ tập lệnh như thao tác tệp và đa xử lý, có khả năng tìm cách tự động hóa một số hoạt động.
- Emerald Sleet (nhóm tin tặc Triều Tiên): Còn được biết đến với tên gọi Kimsuky, nhóm này thường xuyên nhắm mục tiêu vào các tổ chức tư vấn, học thuật và truyền thông trong các chiến dịch lừa đảo mạo danh các nhà nghiên cứu, học giả hoặc nhà báo để thu thập thông tin tình báo. Nhóm tin tặc này bị phát hiện đang thực hiện một chiến dịch lừa đảo nhằm phát tán backdoor phần mềm độc hại gần đây nhất là vào tháng 12/2023.
Theo Microsoft, Emerald Sleet đã sử dụng ChatGPT để tạo ra các nội dung lừa đảo trực tuyến, nghiên cứu các mục tiêu tiềm năng về chương trình vũ khí hạt nhân của Triều Tiên, bên cạnh việc thực hiện các tác vụ như viết script độc hại và nghiên cứu các lỗ hổng như lỗ hổng Microsoft Office “Follina: (CVE-2022-30190).
- Crimson Sandstorm (nhóm tin tặc Iran): Nhóm tin tặc này được liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), đã từng phát tán phần mềm độc hại .NET tùy chỉnh như IMAPLoader thông qua các cuộc tấn công lừa đảo như Spear-phishing.
Các nhà nghiên cứu cho biết nhóm tin tặc Crimson Sandstorm đã lạm dụng ChatGPT để cố gắng phát triển mã nhằm tránh bị phát hiện, tạo ra các tập lệnh script nhằm hỗ trợ các tác vụ như rà quét web, tương tác với máy chủ từ xa và tạo email lừa đảo trong các chiến dịch tấn công kỹ nghệ xã hội. Những email này bao gồm một email mạo danh cơ quan phát triển quốc tế và một email khác nhắm mục tiêu vào các nhà hoạt động nổi tiếng để đánh lừa họ truy cập đến trang web do kẻ tấn công kiểm soát.
- Charcoal Typhoon (nhóm tin tặc Trung Quốc): Còn được gọi là ControlX, RedHotel, nhóm này đã tiến hành các cuộc tấn công mạng tại nhiều quốc gia và vùng lãnh thổ khác nhau, trong đó có Mỹ, Đài Loan, Ấn Độ vào năm 2023, trước đó cũng đã xâm phạm cơ quan lập pháp tiểu bang của Mỹ cũng như các tổ chức nghiên cứu COVID-19.
Việc sử dụng LLM của nhóm tin tặc này, trong đó có ChatGPT bao gồm phát triển các tập lệnh script, các nỗ lực nhằm tự động hóa các hoạt động mạng tinh vi, chuyển đổi thông tin sang các ngôn ngữ khác nhau cho các chiến dịch kỹ nghệ xã hội tiềm năng và hỗ trợ các hoạt động sau xâm phạm như giành quyền truy cập hệ thống và thực thi các lệnh nâng cao.
- Salmon Typhoon (nhóm tin tặc Trung Quốc): Các nhà nghiên cứu cho biết Salmon Typhoon sử dụng ChatGPT như một công cụ tìm kiếm, nghiên cứu về các cơ quan tình báo trên toàn cầu, các cá nhân nổi tiếng và các tác nhân đe dọa khác nhằm mở rộng các công cụ thu thập thông tin tình báo của họ và đánh giá tiềm năng của các công nghệ mới để tìm nguồn cung cấp thông tin.
Ngoài ra, các nhà nghiên cứu của Microsoft cho biết nhóm tin tặc này còn sử dụng mô hình LLM để dịch ngôn ngữ, đặc biệt liên quan đến các tài liệu kỹ thuật và thuật ngữ máy tính, đồng thời cố gắng phát triển mã độc nhưng đã bị ngăn chặn bởi bộ lọc của LLM.
Nhìn chung, các tác nhân đe dọa đã sử dụng các mô hình LLM để nâng cao khả năng hoạt động và chiến lược tấn công mạng của chúng, bao gồm trinh sát mạng mục tiêu, kỹ nghệ xã hội, chiến thuật trốn tránh và thu thập thông tin chung.
Không có trường hợp nào được quan sát liên quan đến việc sử dụng LLM để trực tiếp phát triển phần mềm độc hại hoặc hoàn thành các công cụ khai thác tùy chỉnh. Thay vào đó, chủ yếu nhằm hỗ trợ mã hóa thực tế liên quan đến các một số yêu cầu như khả năng lẩn tránh phát hiện, tạo tập lệnh, vô hiệu hóa phần mềm chống virus và tối ưu hóa các hoạt động tấn công mạng.
Tháng 01/2024, một báo cáo từ Trung tâm An ninh mạng quốc gia Vương quốc Anh (NCSC) đã dự đoán rằng đến năm 2025, hoạt động của các tin tặc APT sẽ được hưởng lợi từ các công cụ AI trên diện rộng, đặc biệt là trong việc phát triển phần mềm độc hại tùy chỉnh lẩn tránh. Tuy nhiên, vào năm 2023, theo phát hiện của OpenAI và Microsoft, đã có sự gia tăng trong các phân đoạn tấn công APT như tấn công lừa đảo và kỹ nghệ xã hội.
Về phần mình, OpenAI cho biết họ sẽ tiếp tục theo dõi và ngăn chặn các tin tặc được nhà nước hậu thuẫn bằng cách sử dụng công nghệ giám sát chuyên dụng, thông tin từ các đối tác và các nhóm bảo mật tới từ nhiều tổ chức, công ty an ninh mạng trên thế giới.
Microsoft đang xây dựng Security Copilot, một nền tảng trợ lý AI mới được thiết kế dành cho các chuyên gia an ninh mạng để xác định các vi phạm và hiểu rõ hơn về lượng tín hiệu và dữ liệu khổng lồ được tạo ra thông qua các công cụ an ninh mạng hàng ngày. Gã khổng lồ công nghệ này cũng đang cải tiến hệ thống bảo mật phần mềm của họ sau các cuộc tấn công lớn vào đám mây Azure.
Hành động của OpenAI diễn ra trong bối cảnh một số cơ quan tình báo ở Anh và Hàn Quốc cũng phát hiện ra các tin tặc được nhà nước bảo trợ đang lạm dụng AI. Mối quan tâm chính là các công cụ như ChatGPT có thể tạo nội dung, phân tích cơ sở dữ liệu và tìm lỗi phần mềm trong vòng vài giây, khiến chúng trở thành “vũ khí mạng” đắc lực cho các nhóm tội phạm mạng.