Nel recente report diffuso lo scorso 14 febbraio 2024 da Microsoft Threat Intelligence in collaborazione con OpenAI, emerge un quadro preoccupante: i modelli linguistici di grandi dimensioni (LLM), come ChatGPT, stanno trovando applicazione nel miglioramento delle tecniche di hackeraggio. Questa analisi dettagliata rivela che gruppi di cybercriminali sostenuti da nazioni quali Russia, Corea del Nord, Iran e Cina stanno esplorando le potenzialità dell’intelligenza artificiale per affinare le proprie strategie offensive.
Secondo il documento, queste entità malevole stanno valutando diverse tecnologie IA per determinare come queste possano essere integrate nelle loro operazioni, puntando a superare i controlli di sicurezza esistenti. L’IA, dunque, si configura come uno strumento per facilitare compiti come la manipolazione di file, la selezione dei dati e il multiprocessing, con l’obiettivo di rendere più efficienti le operazioni tecniche degli hacker.
Tecniche di phishing e vulnerabilità
Tra le applicazioni specifiche degli LLM da parte dei gruppi hacker, si evidenzia la generazione di e-mail di phishing mirato e snippet di codice. Ad esempio, Emerald Street (Thallium), si serve dei modelli linguistici per individuare e sfruttare vulnerabilità già note, scrivendo e-mail di spear-phishing per attaccare organizzazioni target.
Questi strumenti IA hanno inoltre facilitato la scoperta di think tank e ONG focalizzati sulla politica di difesa della Corea del Nord, permettendo ai cybercriminali di impersonare entità accademiche e organizzazioni non governative per influenzare le percezioni sulla politica estera nordcoreana. Anche gruppi affiliati al Corpo delle Guardie Rivoluzionarie Islamiche, come Curium, hanno utilizzato modelli linguistici per creare e-mail di phishing e generare codice finalizzato alla creazione di siti web o al compromettere server, cercando così di eludere i controlli di sicurezza.
Il report mette in luce anche l’attività di gruppi hacker cinesi, tra cui Charcoal Typhoon e Salmon Typhoon, noti per le loro operazioni contro settori chiave come l’istruzione superiore, le comunicazioni e l’energia, nonché contro appaltatori della difesa USA. Questi utilizzano LLM per migliorare le proprie capacità di ingegneria sociale e per raccogliere informazioni su tematiche geopolitiche sensibili.
Nonostante le numerose implicazioni, Microsoft e OpenAI hanno rassicurato che non sono stati ancora identificati attacchi di rilievo sfruttando gli LLM e che gli account associati a questi gruppi di cybercriminali sono stati chiusi. Tuttavia, emerge la necessità di una vigilanza costante, come dimostra l’exploit continuato da parte di Forest Blizzard di una vulnerabilità in Outlook scoperta nove mesi prima.