Tội phạm mạng đã sử dụng AI cho các cuộc tấn công APT

Dẫn chứng từ nhiều báo cáo về cách con người có thể lừa ChatGPT viết phần mềm độc hại đã được công bố, nhưng trên thực tế, tình trạng ứng dụng Trí tuệ nhân tạo (AI) trong các cuộc tấn công mạng còn vượt xa khỏi việc viết phần mềm độc hại. Mà theo Kaspersky thì cỗ máy thông minh này có thể bị tội phạm mạng sử dụng trong từng giai đoạn của một cuộc tấn công tinh vi.

Noushin Shabab, Nhà Nghiên cứu Bảo mật Cấp cao thuộc nhóm Nghiên cứu và Phân tích toàn cầu khu vực châu Á - Thái Bình Dương (APAC), tiết lộ cách AI có thể hỗ trợ cuộc tấn công trực tuyến có chủ đích và vô cùng tinh vi, hay còn được gọi là APT (Advanced Persistent Threat).

“Ngoài việc phát triển phần mềm độc hại, AI còn có thể được sử dụng trong nhiều giai đoạn khác nhau của một cuộc tấn công mạng tinh vi. Ngày nay, các hacker APT kết hợp các kỹ thuật phức tạp để tránh bị phát hiện và các cách lén lút để tồn tại lâu dài. Những phát triển mới của AI có thể hỗ trợ tội phạm mạng từ giai đoạn thăm dò đến đánh cắp dữ liệu”. Shabab cảnh báo.

Đúng với tên gọi về kỹ thuật nâng cao (advanced), APT sử dụng các kỹ thuật hack liên tục, bí mật và tinh vi để giành được quyền truy cập vào hệ thống và tồn tại trong đó một thời gian dài với những hậu quả gây hại. Một trong số đó là giành quyền truy cập liên tục vào hệ thống. Hacker làm được điều này thông qua một loạt các giai đoạn tấn công, bao gồm: thăm dò (thu thập thông tin về mục tiêu, hệ thống của mục tiêu và các lỗ hổng tiềm ẩn), phát triển tài nguyên, thực thi và đánh cắp dữ liệu.

Theo Shabab ở giai đoạn thăm dò, theo có ít nhất 14 nhóm APT đang hoạt động tại khu vực APAC. Một trong số đó là Origami Elephant, được biết đến với việc mua lại tên miền và máy chủ riêng ảo trong giai đoạn phát triển tài nguyên. Tác nhân đe dọa này (còn gọi là nhóm DoNot, APT-C-35, SECTOR02) đã nhắm mục tiêu vào khu vực Nam Á với mối quan tâm đặc biệt đến chính phủ và quân sự, chủ yếu ở Pakistan, Bangladesh, Nepal và Sri Lanka kể từ đầu năm 2020.

Trong khi đó, nhóm gián điệp mạng và phá hoại APT khét tiếng Lazarus lại sử dụng các nền tảng mạng xã hội và ứng dụng nhắn tin như LinkedIn, WhatsApp và Telegram để tiếp cận mục tiêu của mình. Chúng cũng được biết đến với việc xâm phạm các dịch vụ web, đơn cử như các trang web Wordpress dễ bị tấn công, để tải lên các tập lệnh độc hại.

“Trong giai đoạn thăm dò, AI có thể giúp các tác nhân tấn công tìm kiếm và hiểu biết về các mục tiêu tiềm năng bằng cách tự động phân tích dữ liệu từ nhiều nguồn khác nhau, như cơ sở dữ liệu trực tuyến và nền tảng mạng xã hội, cũng như thu thập thông tin về nhân sự, hệ thống và ứng dụng của mục tiêu được sử dụng trong công ty. Các cỗ máy thông minh thậm chí có thể phát hiện ra điểm yếu bằng cách đánh giá chi tiết nhân viên của công ty, mối quan hệ của bên thứ ba và kiến ​​trúc mạng của công ty”. Bà giải thích.

Bên cạnh việc biết đến rộng rãi trong vai trò phát triển phần mềm độc hại, nhưng Shabab cũng chia sẻ rằng AI có thể hỗ trợ tự động hóa các tác vụ liên quan đến xây dựng cơ sở hạ tầng tấn công bao gồm mua cơ sở hạ tầng mạng, tạo tài khoản và tấn công cơ sở hạ tầng mạng.

Ở giai đoạn truy cập ban đầu, Spear phising vẫn là kỹ thuật truy cập ban đầu được các nhóm APT ở APAC ưa chuộng. Trong số 14 nhóm tội phạm mạng đang hoạt động trong khu vực, có 10 nhóm sử dụng chiến thuật này để đột nhập vào mạng mục tiêu của chúng.

Spear phishing là một hình thức lừa đảo qua email hoặc truyền thông điện tử nhắm tới một cá nhân, tổ chức hoặc doanh nghiệp cụ thể. Mặc dù tội phạm mạng thường nhắm mục tiêu đánh cắp dữ liệu cho mục đích xấu nhưng chúng cũng có thể có ý định cài đặt phần mềm độc hại trên máy tính của người dùng mục tiêu.

Trong giai đoạn này, AI có thể giúp tội phạm mạng tạo ra các thông điệp lừa đảo được cá nhân hóa và mang tính thuyết phục cao. Những cỗ máy thông minh này cũng có thể được đào tạo để tìm điểm xâm nhập tốt nhất vào mạng mục tiêu và biết thời điểm tốt nhất để khởi động một cuộc tấn công.

“AI có thể phân tích các mô hình trong hoạt động của mạng và hệ thống, đồng thời khởi động các cuộc tấn công trong thời điểm mà khả năng bảo mật thấp hoặc có độ nhiễu động cao. Do đó, cỗ máy có thể hỗ trợ tội phạm mạng tìm ra thời điểm tốt nhất cho chiến dịch lừa đảo để có quyền truy cập ban đầu vào mạng của nạn nhân”. Shabab giải thích.

Công nghệ này cũng có thể tăng cường các cuộc tấn công brute-force truyền thống bằng cách chọn mật khẩu có khả năng xảy ra một cách thông minh dựa trên các mẫu, danh mục và các vi phạm có sẵn trước đó. Bằng cách phân tích các mẫu hành vi của người dùng, hoạt động trên mạng xã hội và thông tin cá nhân, thuật toán AI có thể đưa ra những phỏng đoán có cơ sở về mật khẩu, tăng cơ hội truy cập thành công.

Ở giai đoạn thực thi, AI có khả năng điều chỉnh hoạt động và khả năng thích nghi của phần mềm độc hại để đối phó với các biện pháp bảo mật, gia tăng cơ hội của một cuộc tấn công thành công. Bên cạnh đó, AI cũng có khả năng làm cho các phần mềm độc hại biến đổi theo môi trường bằng cách thay đổi cấu trúc mã để tránh bị các công cụ bảo mật phát hiện.

Trình thông dịch lệnh và tương tác do AI chọn cũng có thể phân tích môi trường mục tiêu, giúp bọn tội phạm mạng hiểu các đặc điểm của hệ thống và chọn các tùy chọn phù hợp nhất để chạy các tập lệnh hoặc lệnh độc hại. Các chiến thuật tấn công phi kỹ thuật do AI điều khiển cũng có thể làm tăng khả năng người dùng tương tác với các tệp độc hại và khả năng thành công của giai đoạn thực thi.

Và ở giai đoạn tồn tại, các nhóm APT được biết đến với kỹ thuật tinh vi để “lẩn trốn” bên trong mạng. Shabab chia sẻ các kỹ thuật phổ biến nhất của các nhóm APT ở APAC là:

• Scheduled Task/Job (Lên lịch cho các tác vụ độc hại)
• Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder (Khởi chạy tự động khi khởi động máy hoặc đăng nhập)
• Ở giai đoạn này, AI có thể tạo tập lệnh phù hợp nhất để khởi chạy phần mềm độc hại dựa trên phân tích hành vi của người dùng. Các tác nhân đe dọa cũng có thể phát triển phần mềm độc hại do AI cung cấp có thể tự động điều chỉnh các cơ chế tồn tại lâu dài dựa trên những thay đổi trong môi trường mục tiêu.
• Các cơ chế giám sát do AI điều khiển cũng có thể theo dõi các thay đổi của hệ thống và điều chỉnh các chiến thuật “lẩn trốn” phù hợp. Ngoài ra, các kỹ thuật do AI hướng dẫn cũng có thể điều khiển các mục nhập Windows Registry để cập nhật các khóa registry và tránh bị phát hiện.

Cuối cùng là giai đoạn Đánh cắp dữ liệu và Tác động, Shabab cho biết, AI có thể giúp bọn tội phạm mạng đánh cắp dữ liệu một cách lén lút và hiệu quả hơn. Bà nhấn mạnh rằng: “AI có thể phân tích lưu lượng truy cập mạng để phối hợp tốt hơn với các hành vi mạng thông thường và xác định kênh liên lạc phù hợp nhất nhằm đánh cắp dữ liệu của từng nạn nhân. Công nghệ này thậm chí có thể tối ưu hóa việc che giấu, nén và mã hóa dữ liệu bị đánh cắp để tránh bị phát hiện lưu lượng truy cập bất thường”.

Bà cũng cảnh báo rằng AI có thể hỗ trợ tối đa hóa tác động của cuộc tấn công bằng cách nâng cao hiệu lực và hiệu quả hành động của kẻ tấn công. Như thường lệ, để tăng cường khả năng phòng thủ của doanh nghiệp và tổ chức trước các cuộc tấn công APT được hỗ trợ bởi AI, Shabab khuyến nghị:

1. Tìm kiếm Giải pháp bảo mật nâng cao: Triển khai các giải pháp bảo mật sử dụng các phương pháp tiên tiến để giám sát hành vi của người dùng và hệ thống. Điều này có thể giúp xác định những sai lệch so với các mô hình thông thường, có khả năng báo hiệu các hoạt động độc hại của tội phạm mạng.
2. Cập nhật phần mềm thường xuyên: Luôn cập nhật tất cả phần mềm, ứng dụng và hệ điều hành để giảm thiểu các lỗ hổng mà kẻ tấn công có thể khai thác.
3. Đào tạo và nâng cao nhận thức cho người dùng: Cung cấp cho nhân viên chương trình đào tạo về các phương pháp hay nhất về an ninh mạng, bao gồm nhận biết và tránh các cuộc tấn công phi kỹ thuật và các nỗ lực lừa đảo.
4. Xác thực đa yếu tố (MFA): Thực thi MFA để truy cập các hệ thống và ứng dụng quan trọng, giảm nguy cơ truy cập trái phép ngay cả khi thông tin xác thực bị xâm phạm.

Thông tin về các giải pháp bảo mật nâng cao của Kaspersky, truy cập: https://www.kaspersky.com/enterprise-security.

Các thông tin liên quan về tội phạm mạng mới sẽ được Kaspersky chia sẻ tại Hội nghị thượng đỉnh phân tích bảo mật Kaspersky (SAS) 2023 diễn ra tại Phuket, Thái Lan, từ ngày 25 – 28/10/2023.