Un crescente numero di gruppi di hacker supportati da vari Paesi ha iniziato a servirsi di large language models (LLM) — modelli linguistici ampi, come quelli alla base di strumenti di intelligenza artificiale come ChatGPT — allo scopo di perfezionare e potenziare gli attacchi informatici: a mettere in evidenza questo preoccupante scenario sono state direttamente Microsoft e OpenAI.

LLM: una nuova arma per gli hacker

Stando a quanto si legge nella ricerca pubblicata, Microsoft e OpenAI sono state in grado di rilevare dei tentativi posti in essere da gruppi di hacker con alle spalle Russia, Corea del Nord, Iran e Cina: strumenti potenti come ChatGPT vengono impiegati per la ricerca sui target, per migliorare gli script e come aiuto nella costruzione di tecniche di ingegneria sociale. Nel post sul blog di Microsoft si legge che “Gruppi di criminali informatici, autori di minacce su scala nazionale e altri individui avversi stanno conducendo ricerche e test su diverse tecnologie di intelligenza artificiale man mano che emergono, allo scopo di comprendere i potenziali vantaggi per le proprie attività e i controlli di sicurezza che potrebbero aver bisogno di eludere”.

Un esempio riportato è quello del gruppo Strontium, che ha legami con l’intelligence militare russa e che si è scoperto fare uso di LLM “per comprendere protocolli di comunicazione satellitare, tecnologie di imaging radar e parametri tecnici specifici”. Il gruppo di hacker, noto anche come APT28 o Fancy Bear, è stato attivo durante la guerra tra Russia e Ucraina ed è stato precedentemente coinvolto nel caso della campagna presidenziale di Hillary Clinton nel 2016 (cd. Russiagate). Lo stesso gruppo è stato scoperto fare uso di LLM in attività di scripting di base, inclusi manipolazione di file e selezione di dati, oltre che per potenzialmente automatizzare o ottimizzare operazioni tecniche.

Spostando l’orizzonte alla Corea del Nord, un gruppo hacker noto come Thallium sta usando LLM per la ricerca di vulnerabilità pubblicamente segnalate e di organizzazioni da prendere di mira, per scripting di base e per redigere contenuti per campagne di phishing. A questo proposito, il colosso di Redmond segnala come anche il gruppo iraniano Curium sia stato colto ad utilizzare LLM allo scopo di generare e-mail di phishing e persino per scrivere codice per eludere il rilevamento da parte delle applicazioni antivirus. Altri gruppi di hacker in qualche modo riconducibili al governo cinese, infine, stanno utilizzando modelli linguistici ampi per attività di ricerca, scripting, traduzione e per il perfezionamento di strumenti esistenti.

Timori e contromisure

L’inizio dell’era dell’intelligenza artificiale ha fatto emergere timori circa il possibile utilizzo di tali strumenti nell’ambito di attacchi informatici; nella fattispecie, sono emersi strumenti come WormGPT e FraudGPT che perseguono esattamente quella finalità e già il mese scorso la NSA (National Security Agency) aveva lanciato l’allarme dell’AI utilizzata per perfezionare gli attacchi di phishing.

Adesso, Microsoft e OpenAI — che pure non hanno rilevato attacchi importanti messi in atto grazie agli LLM — stanno chiudendo tutti gli account e le risorse riconducibili a gruppi hacker hanno pubblicato la ricerca in discorso allo scopo di mettere in guardia il pubblico dalle potenziali minacce alla sicurezza informatica. La sintesi vocale, ad esempio, preoccupa per un possibile uso al servizio di truffe rese possibili dall’AI: basterebbe un messaggio vocale di pochi secondi — come un saluto nella segreteria telefonica — per addestrare un modello a replicare esattamente una voce.

La soluzione di Microsoft consiste nel servirsi dell’AI per rispondere ad attacchi che ne facciano uso: Homa Hayatyfar, principale responsabile dell’analisi di rilevamento presso Microsoft, riferisce che se l’AI può aiutare gli aggressori a rendere più sofisticati i loro attacchi grazie alle risorse disponibili — lo si è visto con oltre 300 autori di minacce monitorati da Microsoft —, la stessa viene impiegata anche per “proteggere, rilevare e rispondere”. A questo proposito, giova ricordare il nome Security Copilot, l’assistente AI creato da Microsoft e posto al servizio della cybersecurity. In aggiunta a questo, a seguito degli attacchi subiti da Azure e della scoperta di hacker russi che spiavano dirigenti di Redmond, Microsoft si è messa al lavoro per potenziare la sicurezza del proprio software.

Leggi anche: OpenAI integra la memoria in ChatGPT: ora può memorizzare informazioni e dati