Tội phạm mạng lợi dụng cỗ máy thông minh để tấn công APT

Nhiều báo cáo về cách con người có thể lừa ChatGPT viết phần mềm độc hại đã được công bố, thế nhưng trên thực tế, tình trạng ứng dụng AI trong các cuộc tấn công mạng còn vượt xa khỏi việc viết phần mềm độc hại.

Công ty an ninh mạng Kaspersky vừa tiết lộ mạng lưới của cỗ máy thông minh này có thể bị tội phạm mạng sử dụng trong từng giai đoạn của một cuộc tấn công tinh vi.

Noushin Shabab, nhà nghiên cứu bảo mật cấp cao thuộc nhóm nghiên cứu và phân tích toàn cầu khu vực châu Á - Thái Bình Dương (APAC) tiết lộ cách AI có thể hỗ trợ cuộc tấn công trực tuyến có chủ đích và vô cùng tinh vi hay còn được gọi là APT (Advanced Persistent Threat).

Shabab cảnh báo: “Ngoài việc phát triển phần mềm độc hại, AI còn có thể được sử dụng trong nhiều giai đoạn khác nhau của một cuộc tấn công mạng tinh vi. Ngày nay, các tin tặc (hacker) APT kết hợp các kỹ thuật phức tạp để tránh bị phát hiện và các cách lén lút để tồn tại lâu dài. Những phát triển mới của AI có thể hỗ trợ tội phạm mạng từ giai đoạn thăm dò đến đánh cắp dữ liệu”.

Đúng với tên gọi về kỹ thuật nâng cao (advanced), APT sử dụng các kỹ thuật tấn công (hack) liên tục, bí mật và tinh vi để giành được quyền truy cập vào hệ thống và tồn tại trong đó một thời gian dài với những hậu quả gây hại.

Một trong những đặc điểm chính của cuộc tấn công APT là giành quyền truy cập liên tục vào hệ thống. Hacker làm được điều này thông qua một loạt các giai đoạn tấn công, bao gồm: thăm dò (thu thập thông tin về mục tiêu, hệ thống của mục tiêu và các lỗ hổng tiềm ẩn), phát triển tài nguyên, thực thi và đánh cắp dữ liệu.

Giai đoạn thăm dò

Nhà nghiên cứu Shabab chia sẻ hiện tại có ít nhất 14 nhóm APT đang hoạt động tại châu Á - Thái Bình Dương (APAC).

Một trong số đó là Origami Elephant, được biết đến với việc mua lại tên miền và máy chủ riêng ảo trong giai đoạn phát triển tài nguyên. Tác nhân đe dọa này (còn gọi là nhóm DoNot, APT-C-35, SECTOR02) đã nhắm mục tiêu vào khu vực Nam Á với mối quan tâm đặc biệt đến chính phủ và quân sự, chủ yếu ở Pakistan, Bangladesh, Nepal và Sri Lanka kể từ đầu năm 2020.

Trong khi đó, nhóm gián điệp mạng và phá hoại APT khét tiếng Lazarus đã sử dụng các nền tảng mạng xã hội và ứng dụng nhắn tin như LinkedIn, WhatsApp và Telegram để tiếp cận mục tiêu của mình. Chúng cũng được biết đến với việc xâm phạm các dịch vụ web, đơn cử như các trang web Wordpress dễ bị tấn công, để tải lên các tập lệnh độc hại.

Nhà nghiên cứu Shabab giải thích: “Trong giai đoạn thăm dò, AI có thể giúp các tác nhân tấn công tìm kiếm và hiểu biết về các mục tiêu tiềm năng bằng cách tự động phân tích dữ liệu từ nhiều nguồn khác nhau, như cơ sở dữ liệu (CSDL) trực tuyến và nền tảng mạng xã hội, cũng như thu thập thông tin về nhân sự, hệ thống và ứng dụng của mục tiêu được sử dụng trong công ty. Các cỗ máy thông minh thậm chí có thể phát hiện ra điểm yếu bằng cách đánh giá chi tiết nhân viên của công ty, mối quan hệ của bên thứ ba và kiến ​​trúc mạng của công ty”.

Bên cạnh việc biết đến rộng rãi trong vai trò phát triển phần mềm độc hại, nhưng Shabab cũng chia sẻ rằng AI có thể hỗ trợ tự động hóa các tác vụ liên quan đến xây dựng cơ sở hạ tầng tấn công bao gồm mua cơ sở hạ tầng mạng, tạo tài khoản và tấn công cơ sở hạ tầng mạng.

Giai đoạn truy cập ban đầu

Shabab cũng tiết lộ rằng Spear phising (một hình thức tấn công lừa đảo qua mạng, trong đó kẻ tấn công sẽ sử dụng những kỹ thuật nhắm mục tiêu để lừa nạn nhân tin rằng họ đã nhận được một email hợp pháp từ đối tượng quen thuộc) vẫn là kỹ thuật truy cập ban đầu được các nhóm APT ở APAC ưa chuộng. Trong số 14 nhóm tội phạm mạng đang hoạt động trong khu vực, có 10 nhóm sử dụng chiến thuật này để đột nhập vào mạng mục tiêu của chúng.

Spear phishing là một hình thức lừa đảo qua email hoặc truyền thông điện tử nhắm tới một cá nhân, tổ chức hoặc doanh nghiệp cụ thể. Mặc dù tội phạm mạng thường nhắm mục tiêu đánh cắp dữ liệu cho mục đích xấu nhưng chúng cũng có thể có ý định cài đặt phần mềm độc hại trên máy tính của người dùng mục tiêu.

Trong giai đoạn này, AI có thể giúp tội phạm mạng tạo ra các thông điệp lừa đảo được cá nhân hóa và mang tính thuyết phục cao. Những cỗ máy thông minh này cũng có thể được đào tạo để tìm điểm xâm nhập tốt nhất vào mạng mục tiêu và biết thời điểm tốt nhất để khởi động một cuộc tấn công.

Shabab giải thích: “AI có thể phân tích các mô hình trong hoạt động của mạng và hệ thống, đồng thời khởi động các cuộc tấn công trong thời điểm mà khả năng bảo mật thấp hoặc có độ nhiễu động cao. Do đó, cỗ máy có thể hỗ trợ tội phạm mạng tìm ra thời điểm tốt nhất cho chiến dịch lừa đảo để có quyền truy cập ban đầu vào mạng của nạn nhân”.

Công nghệ này cũng có thể tăng cường các cuộc tấn công brute-force truyền thống bằng cách chọn mật khẩu có khả năng xảy ra một cách thông minh dựa trên các mẫu, danh mục và các vi phạm có sẵn trước đó. Bằng cách phân tích các mẫu hành vi của người dùng, hoạt động trên mạng xã hội và thông tin cá nhân, thuật toán AI có thể đưa ra những phỏng đoán có cơ sở về mật khẩu, tăng cơ hội truy cập thành công.

Giai đoạn thực thi

Trong giai đoạn thực thi, AI có khả năng điều chỉnh hoạt động và khả năng thích nghi của phần mềm độc hại để đối phó với các biện pháp bảo mật, gia tăng cơ hội của một cuộc tấn công thành công.

Bên cạnh đó, AI cũng có khả năng làm cho các phần mềm độc hại biến đổi theo môi trường bằng cách thay đổi cấu trúc mã để tránh bị các công cụ bảo mật phát hiện.

Trình thông dịch lệnh và tương tác do AI chọn cũng có thể phân tích môi trường mục tiêu, giúp bọn tội phạm mạng hiểu các đặc điểm của hệ thống và chọn các tùy chọn phù hợp nhất để chạy các tập lệnh hoặc lệnh độc hại. Các chiến thuật tấn công phi kỹ thuật do AI điều khiển cũng có thể làm tăng khả năng người dùng tương tác với các tệp độc hại và khả năng thành công của giai đoạn thực thi.

Giai đoạn tồn tại

Các nhóm APT được biết đến với kỹ thuật tinh vi để “lẩn trốn” bên trong mạng. Shabab chia sẻ các kỹ thuật phổ biến nhất của các nhóm APT ở APAC là: Scheduled Task/Job (Lên lịch cho các tác vụ độc hại); Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder (Khởi chạy tự động khi khởi động máy hoặc đăng nhập)

Ở giai đoạn này, AI có thể tạo tập lệnh phù hợp nhất để khởi chạy phần mềm độc hại dựa trên phân tích hành vi của người dùng. Các tác nhân đe dọa cũng có thể phát triển phần mềm độc hại do AI cung cấp có thể tự động điều chỉnh các cơ chế tồn tại lâu dài dựa trên những thay đổi trong môi trường mục tiêu.

Các cơ chế giám sát do AI điều khiển cũng có thể theo dõi các thay đổi của hệ thống và điều chỉnh các chiến thuật “lẩn trốn” phù hợp.

Ngoài ra, các kỹ thuật do AI hướng dẫn cũng có thể điều khiển các mục nhập Windows Registry để cập nhật các khóa registry và tránh bị phát hiện.

Giai đoạn đánh cắp dữ liệu và tác động

Nhà nghiên cứu Shabab cũng giải thích AI có thể giúp bọn tội phạm mạng đánh cắp dữ liệu một cách lén lút và hiệu quả hơn.

Bà cho biết: “AI có thể phân tích lưu lượng truy cập mạng để phối hợp tốt hơn với các hành vi mạng thông thường và xác định kênh liên lạc phù hợp nhất nhằm đánh cắp dữ liệu của từng nạn nhân. Công nghệ này thậm chí có thể tối ưu hóa việc che giấu, nén và mã hóa dữ liệu bị đánh cắp để tránh bị phát hiện lưu lượng truy cập bất thường”.

Bà cũng cảnh báo AI có thể hỗ trợ tối đa hóa tác động của cuộc tấn công bằng cách nâng cao hiệu lực và hiệu quả hành động của kẻ tấn công.

Để tăng cường khả năng phòng thủ của doanh nghiệp và tổ chức trước các cuộc tấn công APT được hỗ trợ bởi AI, Shabab khuyến nghị những điều sau: cần tìm kiếm Giải pháp bảo mật nâng cao, cập nhật phần mềm thường xuyên; Đào tạo và nâng cao nhận thức cho người dùng; Xác thực đa yếu tố (MFA)./.