Des cyberattaques utilisent déjà l'IA générative, prévient Microsoft
Microsoft a révélé, dans un rapport rédigé en collaboration avec OpenAI, la manière dont certains hackers chinois, iraniens, nord-coréens et russes utilisent de grands modèles de langage dans le cadre de cyberattaques. Les deux sociétés ont fermé plusieurs comptes associés à ces groupes de pirates.
Yoann Bourgin
Mis à jour
15 février 2024
Microsoft Threat Intelligence, en collaboration avec la société d’intelligence artificielle OpenAI, ont affirmé dans un rapport rendu public le 14 février que les grands modèles de langage (LLM) comme ChatGPT pouvaient servir aux hackers pour améliorer leurs techniques existantes. Les deux sociétés américaines ont ainsi repéré des tentatives de groupes de pirates soutenus par différents pays, comme la Russie, la Corée du Nord, l’Iran et la Chine.
Utilisés pour décrypter les protocoles de communication satellite
“Les groupes de cyberciminels, acteurs de la menace des États-nations et d’autres opposants explorent et testent différentes technologies d’IA […] afin de comprendre leur valeur pour leurs opérations, et les contrôles de sécurité qu’ils pourraient avoir besoin de contourner”, résume le rapport. Les pirates peuvent ainsi utiliser l’IA pour simplifier les tâches de script de base, comme la manipulation de fichiers, la sélection de données et le multitraitement, pour “optimiser leurs opérations techniques”.
Microsoft et OpenAI ont par exemple découvert que le groupe Forest Blizzard (Strontium), lié au renseignement russe, interagit avec les LLM pour comprendre les protocoles de communication par satellite et les technologies d’imagerie radar. Ils ont également effectué des recherches pour les tâches de scripting, afin d’automatiser ou d’optimiser leurs techniques. Appelé APT28 ou Fancy Bear, ce groupe a été impliqué dans certains piratages depuis le début de la guerre en Ukraine, et lors de la présidentielle américaine de 2016.
Génération d’e-mails de phishing et d’extraits de code
Emerald Street, aussi appelé Thallium, a également été identifié comme utilisant des modèles de langage pour cibler des organisations et rechercher des vulnérabilités dont le signalement a été rendu public. Les hackers s'en servent notamment pour rédiger des e-mails de spear-phishing.
Ces LLM leur ont également permis d’identifier des groupes de réflexion ou ONG traitant de la politique de défense de Corée du Nord. Microsoft a ainsi observé ce groupe de hackers nord-coréens se faire passer pour des institutions universitaires et des ONG, à l'aide de techniques de spear-phishing, pour influencer des avis émis sur la politique étrangère nord-coréenne.
Les pirates nord-coréens ont par exemple utilisé des modèles d'IA générative pour comprendre les caractéristiques de la vulnérabilité CVE-2022-30190 de l’outil de diagnostic matériel de Microsoft (MSDT), connue sous le nom de Follina. Ils leur ont également servi à créer des scripts, par exemple pour l’identification de certains événements utilisateur.
Un groupe de hackers qui serait lié au corps des Gardiens de la révolution islamique, Curium, a lui aussi utilisé les modèles pour générer des e-mails de phishing, dont un prétendant provenir d’une agence de développement international et un autre redirigeant vers un site web créé par les hackers. Ils ont aussi généré du code pour créer des sites ou compromettre des serveurs. Les hackers ont enfin obtenu de l’aide pour échapper aux contrôles de sécurité.
Un groupe de hackers chinois visant la France
Enfin, le rapport dénonce les agissements de deux groupes affiliés à l’État chinois, Charcoal Typhoon et Salmon Typhoon. Charcoal Typhoon est connu pour cibler des secteurs comme l’enseignement supérieur, la communication ou l’énergie, principalement en Asie mais aussi en France. Ils utilisent des grands modèles de langage pour faire de l'ingénierie sociale (traduction, communication plus naturelle).
Salmon Typhoon, lui, cible depuis longtemps les sous-traitants de la défense américaine et autres agences gouvernementales en déployant des malwares. Ils se servent des LLM pour rechercher des informations sur des sujets sensibles, notamment géopolitiques.
Le rapport précise que Microsoft et OpenAI n’ont pas encore repéré "d’attaques significatives" utilisant les LLM, et que les comptes associés à ces groupes de pirates ont été fermés. En décembre 2023, le géant de la tech avait affirmé que le groupe Forest Blizzard continuait à exploiter une faille de sécurité sur Outlook, débouchant sur du vol et de l’usurpation d’identifiants. Une faille découverte… neuf mois plus tôt.
Sélectionné pour vous
SUR LE MÊME SUJET
Des cyberattaques utilisent déjà l'IA générative, prévient Microsoft
Tous les champs sont obligatoires
0Commentaire
Réagir
