2023: l'anno dell'intelligenza artificiale nei crimini informatici

2023: l’anno dell’intelligenza artificiale nei crimini informatici

In questo articolo, esploriamo le sfide della sicurezza informatica in Italia nel 2023, ponendo particolare attenzione al ruolo crescente dell’intelligenza artificiale (IA) nei crimini informatici. Discuteremo come i criminali stiano sfruttando le IA per condurre attacchi sofisticati, inclusi l’uso dei modelli linguistici per scopi malevoli. 

Successivamente, in un secondo articolo, ci concentreremo sulle strategie di difesa, evidenziando l’importanza della gestione del cloud, dello sviluppo di software sicuro e della gestione efficace dei dati, con un occhio di riguardo ai sistemi di sicurezza per Azure SQL.

Gli Attacchi Informatici del 2023: facciamo il punto

Nel panorama della sicurezza informatica, l’anno 2023 ha rappresentato un periodo di significative evoluzioni e sfide. In Italia, in particolare, si è assistito a un cambiamento nel profilo degli attacchi informatici, con implicazioni importanti per le aziende e le istituzioni.

Nel 2023, il cybercrime ha continuato a essere la principale minaccia, costituendo il 69% degli attacchi in Italia. 

Il termine cybercrime, o crimine informatico, si riferisce a qualsiasi attività criminale che implica l’uso di computer e reti di computer. Questo può includere una vasta gamma di attività illecite, dalle frodi online e furto di identità alla distribuzione di malware e attacchi informatici contro infrastrutture critiche.

Inoltre il 2023 ha visto un aumento del 30% di attacchi ad enti ed aziende Italiane con scopo dimostrativo e legato alla situazione geopolitica mondiale. Per cui, il 2023 ha segnato un altro anno consecutivo all’insegna di attacchi più frequenti e complessi.

Senza voler snocciolare altri dati dei report sul tema (che è possibile leggere a questo link e a quest’altro link), i numeri riportati fino ad ora fanno capire chiaramente come l’argomento della sicurezza informatica debba essere di primaria importanza a qualsiasi livello: personale e professionale.

Questi numeri impressionanti sono il risultato dell’utilizzo sempre più diffuso dell’intelligenza artificiale nei crimini informatici su più livelli. Nell’ultimo anno, la velocità, la portata e la sofisticazione degli attacchi sono aumentate insieme al rapido sviluppo e all’adozione dell’intelligenza artificiale. 

Il Ruolo dell’Intelligenza Artificiale negli Attacchi Informatici

Nel 2023, l’evoluzione e l’impiego dell’intelligenza artificiale (IA) negli attacchi informatici hanno segnato un’epoca di trasformazioni significative nella cyber sicurezza. Ma in che modo è stata utilizzata l’intelligenza artificiale?

Microsoft (qui il report) e OpenAI (qui il report) collaborano da tempo per tracciare e studiare l’uso dei modelli di IA da parte dei molti gruppi di criminali informatici attivi a livello mondiale. Nel fare questo hanno integrato il MITRE ATT&CK framework, una risorsa globale che fornisce una base dati completa sulle tattiche, tecniche e procedure usate dagli attori delle minacce informatiche.

Quali sono stati i risultati di questa indagine? E’ emerso come l’intelligenza artificiale abbia assunto un ruolo sempre più centrale nella progettazione e conduzione dei crimini informatici su tutti i livelli.

In generale, per portare a termine un attacco informatico è sempre necessario eseguire una serie di step come la ricognizione, la conoscenza dei settori, dei luoghi e delle relazioni delle potenziali vittime; aiuto con la codifica, incluso il miglioramento di cose come script software e sviluppo di malware; e assistenza nell’apprendimento e nell’uso delle lingue native. Ed in tutto questo, i modelli di IA sono stati un grande aiuto per gli autori dei crimini informatici. 

Ad esempio, il supporto linguistico è una caratteristica naturale dei LLM ed è stato spesso utilizzato per le operazioni di ingegneria sociale e ad altre tecniche che si basano su comunicazioni false e ingannevoli. Inoltre i modelli di intelligenza artificiale sono ottimi strumenti per l’analisi dei dati, così come per la produzione di software malevolo, e via dicendo…

Così, durante lo studio condotto da Microsoft ed OpenAI è stato possibile suddividere l’utilizzo dei modelli linguistici (LLM) in 9 categorie.

9 utilizzi dell’IA negli attacchi informatici

⭕ Ricognizione Informata su LLM: LLM viene utilizzato per raccogliere informazioni riguardanti tecnologie e vulnerabilità potenziali, ottimizzando la ricerca e l’analisi di dati.

⭕ Tecniche di Scripting Migliorate da LLM: LLM aiuta nella generazione e perfezionamento di script per attacchi informatici o per attività di scripting di base.

⭕ Sviluppo Assistito da LLM: LLM supporta lo sviluppo di strumenti e programmi, compresi quelli con intenti dannosi, come il malware, offrendo insights e suggerimenti nel processo di sviluppo.

⭕ Ingegneria Sociale Supportata da LLM: LLM viene sfruttato per assistenza nelle traduzioni e comunicazioni, potenzialmente per stabilire connessioni o manipolare obiettivi.

⭕ Ricerca sulle Vulnerabilità Assistita da LLM: Utilizzo di LLM per identificare vulnerabilità in software e sistemi, che potrebbero essere sfruttate.

⭕ Creazione di Payload Ottimizzati per LLM: LLM aiuta nella creazione e ottimizzazione di payload per implementarli in attacchi informatici.

⭕ Evasione del Rilevamento di Anomalie Potenziato da LLM: Sfruttamento di LLM per sviluppare metodi che aiutano le attività dannose ad integrarsi con il traffico normale, eludendo i sistemi di rilevamento.

⭕ Bypass delle Funzionalità di Sicurezza Indirizzate a LLM: Utilizzo di LLM per trovare modi per aggirare le funzionalità di sicurezza come l’autenticazione a due fattori o CAPTCHA.

⭕ Sviluppo delle Risorse Consigliato da LLM: LLM viene utilizzato nello sviluppo e nella modifica di strumenti, e nella pianificazione operativa strategica.

Un esempio pratico: l’intelligenza artificiale a supporto dei crimini informatici del gruppo Emerald Sleet

Un caso emblematico dell’utilizzo dell’intelligenza artificiale nei crimini informatici è quello di Emerald Sleet, noto anche come THALLIUM, come riportato da Microsoft. 

Questo attore di minacce nordcoreano è stato particolarmente attivo nel 2023, adottando tattiche sofisticate per compromettere obiettivi importanti. Una delle loro strategie più efficaci è stata l’uso di e-mail di spear phishing, che miravano a individui con conoscenze specifiche sulla Corea del Nord.

La particolarità di Emerald Sleet sta nell’uso degli Large Language Models (LLM) per supportare le sue operazioni di attacco. Questo gruppo si è avvalso degli LLM per effettuare ricerche approfondite su think tank ed esperti sulla Corea del Nord. Così ha potuto crere contenuti mirati per le loro campagne di spear-phishing. 

Inoltre, Emerald Sleet ha utilizzato LLM per comprendere meglio le vulnerabilità pubblicamente note, come la CVE-2022-30190 (nota come “Follina”). Ma anche per ottenere assistenza nello scripting di base e nell’uso di varie tecnologie web.

Come indicato nel report, Microsoft e OpenAI hanno disabilitato prontamente tutti gli account e risorse associati a Emerald Sleet. Tuttavia, il loro approccio mette in luce la necessità di strategie di difesa sempre più sofisticate e consapevoli dell’evoluzione tecnologica.

Con scenari del genere, la sicurezza informatica è di primaria importanza per ogni azienda

Vista quindi l’enorme efficacia dell’IA in tutti questi compiti, viene da chiedersi come sia possibile difendere i sistemi informatici aziendali.

Uno spunto di riflessione passa sicuramente dalla preparazione dei collaboratori in azienda. Un’educazione basata sull’importanza dei dati aziendali, la loro protezione, e sulle basi di sicurezza informatica sono senza dubbio utili.

Tuttavia, in particolare per quanto riguarda il mondo del cloud, esistono diversi strumenti utili a mitigare le minacce informatiche. Nel prossimo articolo faremo il punto, e vedremo come Azure SQL implementa questi sistemi di sicurezza.

Alla prossima informazione!

---

• ← Previous Post
• Next Post →