Nghiên cứu mới từ Microsoft cảnh báo các tổ chức rằng các tác nhân đe dọa đã bắt đầu tích hợp trí tuệ nhân tạo (AI) vào quy trình làm việc của chúng để đẩy nhanh quá trình tấn công, vượt qua các biện pháp bảo vệ và thực hiện các hoạt động độc hại.
Tương tự như cách mà thế giới ngầm mạng áp dụng các hoạt động kinh doanh từ các doanh nghiệp hợp pháp — cấu trúc tổ chức kiểu doanh nghiệp, mô hình dịch vụ theo yêu cầu và chuyên môn hóa — chúng đang bắt chước các doanh nghiệp tích hợp trí tuệ nhân tạo vào hoạt động của mình để tăng tốc độ, quy mô và khả năng phục hồi của các hoạt động độc hại, Microsoft giải thích trong bài đăng trên blog bảo mật của mình .
Báo cáo lưu ý rằng đơn vị tình báo về mối đe dọa của Microsoft đã quan sát thấy hầu hết việc sử dụng AI độc hại hiện nay tập trung vào các mô hình ngôn ngữ tạo ra văn bản, mã hoặc phương tiện truyền thông. Các tác nhân đe dọa sử dụng AI tạo sinh để soạn thảo các mồi nhử lừa đảo, dịch nội dung, tóm tắt dữ liệu bị đánh cắp, tạo hoặc gỡ lỗi phần mềm độc hại và xây dựng cấu trúc kịch bản hoặc cơ sở hạ tầng.
“Trí tuệ nhân tạo đang nhanh chóng được tích hợp vào toàn bộ vòng đời của một cuộc tấn công mạng, nhưng không phải lúc nào cũng theo cách mà mọi người mong đợi,” Ensar Seker, Giám đốc An ninh Thông tin (CISO) của SOCRadar , một công ty tình báo về mối đe dọa ở Newark, Delaware, cho biết.
“Trong nhiều trường hợp, các tác nhân đe dọa không tự xây dựng các mô hình AI tiên tiến của riêng mình,” ông nói với TechNewsWorld. “Thay vào đó, họ đang vận dụng các công cụ AI tạo sinh hiện có để đẩy nhanh quy trình tấn công truyền thống.”
Ông nói thêm: "Tác động lớn nhất của AI trong các hoạt động an ninh mạng là hiệu quả chứ không phải là các kỹ thuật tấn công hoàn toàn mới."
“Tuy nhiên,” ông tiếp tục, “Trí tuệ nhân tạo không thay thế các kỹ thuật tấn công truyền thống hoặc loại bỏ nhu cầu về chuyên môn của con người. Các chiến dịch tinh vi, đặc biệt là những chiến dịch do các nhóm nhà nước thực hiện, vẫn phụ thuộc rất nhiều vào việc trinh sát thủ công, các công cụ tùy chỉnh và kỷ luật an ninh hoạt động.”
Ông nói: “Trí tuệ nhân tạo (AI) đang đóng vai trò như một yếu tố nhân rộng sức mạnh hơn là thay thế cho các chiến thuật truyền thống. Các tác nhân đe dọa vẫn cần quyền truy cập, cơ sở hạ tầng và mục tiêu rõ ràng. AI chỉ đơn giản giúp họ hành động nhanh hơn một khi những yếu tố đó đã được thiết lập.”
Trí tuệ nhân tạo tăng tốc độ chuẩn bị tấn công
“Hãy nghĩ xem những kẻ tấn công mạng thường dành thời gian vào việc gì,” Stu Bradley, phó chủ tịch cấp cao về giải pháp rủi ro, gian lận và tuân thủ tại SAS , một công ty phần mềm phân tích và trí tuệ nhân tạo ở Cary, NC, nhận xét. “Họ tìm kiếm và nghiên cứu nạn nhân, soạn thảo những tin nhắn lừa đảo thuyết phục, xây dựng mối quan hệ trong nhiều tuần hoặc nhiều tháng để nhận được khoản tiền từ trò lừa đảo tình cảm.”
“Nhờ sử dụng các công cụ AI sẵn có, những công việc từng tốn nhiều thời gian nay đang được tinh giản và tự động hóa,” ông nói với TechNewsWorld. “GenAI cho phép những kẻ lừa đảo tạo ra nội dung được trau chuốt, nhắm mục tiêu chính xác chỉ trong vài giây — nội dung mà trước đây phải mất hàng giờ để tạo ra. Kết quả là, khoảng cách giữa việc tìm thấy nạn nhân, hoặc nhiều nạn nhân, như thường xảy ra, và việc phát động một cuộc tấn công ngày càng thu hẹp.”
“Và bởi vì tội phạm cũng sử dụng các công cụ AI này để tự động hóa các cuộc tấn công của chúng, nên chúng có thể nhắm mục tiêu vào nhiều nạn nhân cùng một lúc, với ít nỗ lực thủ công hơn,” ông nói. “Tác động thật đáng kinh ngạc khi bạn xem xét rằng hầu hết các kế hoạch lừa đảo đều là trò chơi xác suất. Bạn sẽ không thành công mọi lúc, nhưng càng thử nhiều lần, tỷ lệ thành công càng cao.”
Eric Schwake, giám đốc chiến lược an ninh mạng tại Salt Security , một nhà cung cấp bảo mật API ở Palo Alto, California, cho biết thêm, các tác nhân đe dọa tận dụng trí tuệ nhân tạo để tự động hóa hoàn toàn các giai đoạn thủ công, tốn thời gian trong chuỗi tấn công mạng .
“Họ sử dụng trí tuệ nhân tạo tạo sinh để nhanh chóng thực hiện trinh sát, viết và gỡ lỗi mã độc, và tạo ra các kế hoạch tấn công lừa đảo có mục tiêu cao chỉ trong vài giây,” ông nói với TechNewsWorld. “Bằng cách giảm thời gian cần thiết để phát triển và triển khai một lỗ hổng bảo mật, kẻ thù có thể tấn công nhanh hơn so với các biện pháp an ninh truyền thống hoặc các nhà phân tích con người có thể phản ứng.”
Hệ số nhân lực
Microsoft lưu ý rằng đơn vị tình báo về mối đe dọa của họ đã quan sát thấy các tác nhân đe dọa sử dụng trí tuệ nhân tạo (AI) trong các khía cạnh hoạt động của chúng, những hoạt động này không mang tính chất độc hại nhưng lại hỗ trợ đáng kể cho các mục tiêu rộng lớn hơn của chúng. Trong những trường hợp này, AI được áp dụng để cải thiện hiệu quả, quy mô và tính bền vững của hoạt động, chứ không phải để trực tiếp thực hiện các cuộc tấn công.
“Trí tuệ nhân tạo cho phép các tác nhân đe dọa thực hiện nhiều giai đoạn hơn trong vòng đời tấn công song song,” Jacob Krell, giám đốc cấp cao về các giải pháp AI bảo mật và an ninh mạng tại Suzu Labs, một nhà cung cấp dịch vụ an ninh mạng dựa trên AI ở Las Vegas, giải thích.
“Việc trinh sát, xây dựng hồ sơ người dùng, tạo mồi nhử lừa đảo, thiết lập cơ sở hạ tầng và phân tích dữ liệu sau khi xâm nhập đều có thể được thực hiện nhanh hơn và trên nhiều mục tiêu cùng một lúc,” ông nói với TechNewsWorld. “Những việc trước đây cần nhiều chuyên gia giờ đây có thể được gói gọn vào một quy trình làm việc lặp lại.”
Bradley của SAS cho biết thêm, AI giải quyết được vấn đề nhân lực cho các băng nhóm tội phạm có tổ chức này. “Bạn không còn cần một đội ngũ lớn để điều hành một hoạt động quy mô lớn nữa”, ông giải thích. “Việc tự động hóa quá trình tạo nội dung bằng AI có nghĩa là chúng có thể đồng thời gửi hàng loạt tin nhắn cá nhân hóa qua email, tin nhắn SMS, cuộc gọi thoại và các kênh mạng xã hội, những tin nhắn này trông thuyết phục hơn nhiều so với các chiêu trò lừa đảo trước đây.”
Theo Schwake của Salt Security, trí tuệ nhân tạo (AI) đóng vai trò như một yếu tố nhân rộng sức mạnh đáng kể, cho phép một kẻ tấn công duy nhất điều phối hàng nghìn cuộc xâm nhập đồng thời. Ông cho biết: “Kẻ tấn công đang sử dụng AI để tự động hóa việc nhận diện mục tiêu, tấn công dò mật khẩu và thiết lập nhanh chóng cơ sở hạ tầng tấn công, chẳng hạn như các tên miền giả mạo. Khả năng này cho phép những kẻ tấn công tương đối thiếu kinh nghiệm thực hiện các chiến dịch phức tạp trên phạm vi tấn công toàn cầu mà không cần tăng cường nguồn nhân lực tương ứng.”
Trí tuệ nhân tạo giúp kẻ tấn công tái thiết nhanh hơn.
Microsoft cũng chỉ ra rằng các tác nhân đe dọa đang khai thác trí tuệ nhân tạo (AI) để phát triển nguồn lực. Theo giải thích của hãng, với các mô hình AI, các tác nhân đe dọa có thể thiết kế, cấu hình và khắc phục sự cố cơ sở hạ tầng bí mật của chúng. Phương pháp này làm giảm rào cản kỹ thuật đối với các tác nhân ít tinh vi hơn và đẩy nhanh việc triển khai cơ sở hạ tầng mạnh mẽ đồng thời giảm thiểu rủi ro bị phát hiện.
“Trí tuệ nhân tạo cho phép tạo ra các công cụ thích ứng và né tránh tốt hơn”, Vincenzo Iozzo, Giám đốc điều hành kiêm đồng sáng lập của SlashID , một nhà cung cấp dịch vụ phát hiện và ứng phó với các mối đe dọa danh tính tại Chicago, nhận xét.
“Phần mềm độc hại do AI tạo ra có thể đa hình, tự viết lại mã của chính nó để né tránh phát hiện dựa trên chữ ký,” ông nói với TechNewsWorld. “AI cũng cho phép các tác nhân đe dọa nhanh chóng lặp lại các chiến dịch bị chặn — tạo lại tải trọng, xoay vòng cơ sở hạ tầng và điều chỉnh các chiêu trò lừa đảo xã hội nhanh hơn cả phản ứng của những người phòng thủ.”
Krell của Suzu Labs cho biết thêm, AI giúp tăng cường khả năng phục hồi bằng cách rút ngắn chu kỳ xây dựng lại cho các tác nhân đe dọa. Ông giải thích: “Khi một phần mềm độc hại, mồi nhử hoặc thành phần cơ sở hạ tầng được phát hiện, các tác nhân đe dọa có thể sử dụng AI để nhanh chóng sửa đổi mã, làm mới nội dung lừa đảo, khắc phục sự cố triển khai và triển khai lại chức năng bằng cách sử dụng các thư viện hoặc ngôn ngữ khác nhau”.
Ông nói thêm: “Các vị trí gọi lại chỉ huy và kiểm soát cũng đang thay đổi thường xuyên hơn so với các thao tác thủ công, điều này làm thu hẹp khoảng thời gian mà các chuyên gia phòng thủ có thể hành động dựa trên các chỉ báo được gắn cờ.”
Sự trỗi dậy của trí tuệ nhân tạo tác nhân trong tội phạm mạng
Mặc dù trí tuệ nhân tạo tạo sinh hiện chiếm phần lớn hoạt động của các tác nhân đe dọa liên quan đến AI được quan sát thấy, Microsoft lưu ý rằng các nhà nghiên cứu về mối đe dọa của họ đang bắt đầu thấy những tín hiệu ban đầu về sự chuyển đổi sang các ứng dụng AI mang tính chủ động hơn.
Đối với các tác nhân đe dọa, sự thay đổi này có thể đại diện cho một bước chuyển biến quan trọng trong kỹ thuật tấn công bằng cách cho phép các quy trình làm việc bán tự động liên tục tinh chỉnh các chiến dịch lừa đảo, thử nghiệm và điều chỉnh cơ sở hạ tầng, duy trì sự hiện diện hoặc giám sát thông tin tình báo nguồn mở để tìm kiếm các cơ hội mới.
Microsoft cho biết họ vẫn chưa ghi nhận việc các tác nhân đe dọa sử dụng AI dạng tác nhân trên quy mô lớn, chủ yếu là do các hạn chế về độ tin cậy và vận hành hiện tại. Tuy nhiên, các ví dụ thực tế và các thí nghiệm chứng minh khái niệm cho thấy tiềm năng của các hệ thống này trong việc hỗ trợ trinh sát tự động, quản lý cơ sở hạ tầng, phát triển phần mềm độc hại và ra quyết định sau khi xâm nhập.
“Những gì chúng ta đang thấy ngày nay là những thử nghiệm ban đầu nhưng có ý nghĩa,” Krell nói. “Trí tuệ nhân tạo có khả năng tác động đang được sử dụng để hỗ trợ các quy trình làm việc liên quan đến lập kế hoạch, đánh giá việc sử dụng công cụ và thích ứng theo thời gian, thay vì chỉ là những lời nhắc nhở một lần.”
“Microsoft đã báo cáo rằng nhóm tin tặc Coral Sleet của Triều Tiên đang sử dụng các công cụ trí tuệ nhân tạo (AI) trong một quy trình làm việc hoàn chỉnh từ đầu đến cuối để phát triển mồi nhử, cung cấp cơ sở hạ tầng, đến thử nghiệm và triển khai tải trọng nhanh chóng,” ông tiếp tục. “Việc sử dụng trên quy mô lớn vẫn bị hạn chế bởi độ tin cậy và rủi ro vận hành, nhưng hướng đi thì rõ ràng.”
Ông nói thêm: “Trí tuệ nhân tạo không thay thế những kẻ gây ra mối đe dọa. Nó chỉ giúp chúng hoạt động hiệu quả hơn.”
“Tác động trước mắt nhất không phải là các cuộc xâm nhập hoàn toàn tự động mà là nghiên cứu nhanh hơn, khả năng thích ứng nhanh hơn, kỹ thuật xã hội có khả năng mở rộng hơn và việc lạm dụng quyền truy cập hợp pháp một cách bền vững hơn,” ông nói. “Sự tăng tốc của AI không theo một con đường tuyến tính. Khả năng được tích lũy dần, và các tổ chức vẫn coi đây là vấn đề email lừa đảo đang đánh giá thấp sự thay đổi hoạt động đang diễn ra.”
