Microsoft und OpenAI warnen vor staatlichen Hackern, die KI für Cyberangriffe nutzen

Nationale Akteure, die mit Russland, Nordkorea, Iran und China in Verbindung stehen, experimentieren mit künstlicher Intelligenz (KI) und großen Sprachmodellen (LLMs), um ihre laufenden Cyberangriffe zu unterstützen.

Die Ergebnisse stammen aus einem Bericht, der von Microsoft in Zusammenarbeit mit OpenAI veröffentlicht wurde. Laut den beiden Unternehmen wurden die Bemühungen von fünf mit dem Staat verbundenen Akteuren, die ihre KI-Dienste zur Durchführung bösartiger Cyber-Aktivitäten nutzten, gestoppt, indem ihre Konten gelöscht wurden.

Zwar wurden bisher keine bedeutenden oder neuartigen Angriffe mit LLMs entdeckt, aber die Erforschung von KI-Technologien durch Angreifer hat verschiedene Phasen der Angriffsstrategie durchlaufen, wie z. B. die Aufklärung, die Unterstützung bei der Programmierung und die Entwicklung von Malware.

Diese Akteure versuchten im Allgemeinen, OpenAI-Dienste für die Abfrage von Open-Source-Informationen, die Übersetzung, die Suche nach Programmierfehlern und die Ausführung grundlegender Programmieraufgaben zu nutzen

So soll beispielsweise die als Forest Blizzard (auch bekannt als APT28) bekannte russische Gruppe das Angebot genutzt haben, um Open-Source-Forschung zu Satellitenkommunikationsprotokollen und Radarbildgebungstechnologie zu betreiben und um Unterstützung bei Skripting-Aufgaben zu erhalten.

So soll beispielsweise die als Forest Blizzard (auch als APT28 bezeichnet) bekannte russische Gruppe ihre Angebote zur Durchführung von Open-Source-Recherchen zu Satellitenkommunikationsprotokollen und Radarbildgebungstechnologie sowie zur Unterstützung bei Skripting-Aufgaben genutzt haben.

Einige der anderen bekannten Hacker-Crews:

  • Emerald Sleet (alias Kimusky), ein nordkoreanischer Hacker, hat LLMs genutzt, um Experten, Denkfabriken und Organisationen ausfindig zu machen, die sich mit Verteidigungsfragen im asiatisch-pazifischen Raum befassen, öffentlich zugängliche Sicherheitslücken zu erkennen, bei grundlegenden Scripting-Aufgaben zu helfen und Inhalte zu entwerfen, die in Phishing-Kampagnen verwendet werden könnten.
  • Salmon Typhoon (auch bekannt als Maverick Panda), ein chinesischer Cyberkrimineller, der LLMs nutzte, um technische Dokumente zu übersetzen, öffentlich verfügbare Informationen über mehrere Geheimdienste und regionale Cyberkriminelle abzurufen, Programmierfehler zu beheben und Verschleierungstaktiken zu finden, um der Entdeckung zu entgehen.
  • Charcoal Typhoon (auch bekannt als Aquatic Panda), ein chinesischer Cyberkrimineller, der LLMs verwendet hat, um verschiedene Unternehmen und Schwachstellen zu erforschen, Skripte zu erstellen, Inhalte für Phishing-Kampagnen zu erstellen und Techniken für das Verhalten nach der Kompromittierung zu identifizieren
  • Crimson Sandstorm (auch bekannt als Imperial Kitten), ein iranischer Cyberkrimineller, der LLMs zur Erstellung von Codeschnipseln für die App- und Web-Entwicklung, zur Generierung von Phishing-E-Mails und zur Erforschung gängiger Methoden zur Umgehung der Erkennung von Malware eingesetzt hat.

Microsoft zufolge formuliert das Unternehmen auch eine Reihe von Grundsätzen, um die Risiken der schädlichen Nutzung von KI-Tools und APIs durch staatliche Advanced Persistent Threats (APTs), Advanced Persistent Manipulators (APMs) und cyberkriminelle Syndikate zu mindern und wirksame Schutzmaßnahmen und Sicherheitsmechanismen rund um seine Modelle zu konzipieren.

Zu diesen Grundsätzen gehören die Identifizierung und das Vorgehen gegen die Nutzung durch böswillige Akteure, die Benachrichtigung anderer Anbieter von KI-Diensten, die Zusammenarbeit mit anderen Akteuren und Transparenz.