Você está visualizando atualmente Expansão de IA Generativa e Ataques à Cadeia de Suprimentos de Software Estão Sendo Explorados Para Perturbar, Manipular e Roubar

Expansão de IA Generativa e Ataques à Cadeia de Suprimentos de Software Estão Sendo Explorados Para Perturbar, Manipular e Roubar

Desde junho de 2023, a Microsoft tem observado várias tendências notáveis de cibersegurança e influência da China e da Coreia do Norte que indicam que grupos de ameaças de estado-nação estão redobrando os esforços em alvos familiares, usando técnicas de influência mais sofisticadas para alcançar seus objetivos. Para proteger suas organizações contra os vetores de ataque mais recentes e ameaças de estado-nação, as equipes de segurança devem se manter atualizadas sobre essas tendências.

Atuando nos últimos meses, os atores cibernéticos chineses têm direcionado amplamente três áreas centrais: entidades nas ilhas do Pacífico Sul, adversários regionais no Mar da China Meridional e a base industrial de defesa dos EUA. Enquanto isso, os atores de influência chineses conseguiram aprimorar seu uso de conteúdo gerado por IA e aprimorado por IA, ao mesmo tempo em que experimentam com novas mídias na tentativa de incitar divisões nos EUA e agravar as divisões na região Ásia-Pacífico.

Por exemplo, em um relatório de setembro de 2023, exploramos o uso de inteligência artificial generativa por ativos de operação de influência (IO) chineses para criar conteúdo visual envolvente, incluindo memes gerados por IA que tinham como alvo os EUA para amplificar questões domésticas controversas e criticar a administração Biden.

A Storm-1376 é um dos atores de ameaças chineses mais prolíficos que utilizam conteúdo de IA, com campanhas de IO que abrangem mais de 175 sites e 58 idiomas diferentes. Recentemente, as campanhas da Storm-1376 começaram a usar fotos geradas por IA para enganar o público, fomentar conteúdo conspiratório – especialmente contra o governo dos EUA – e direcionar novas populações com conteúdo localizado.

No ano passado, a Storm-1376 espalhou uma série de postagens conspiratórias em redes sociais, alegando que o governo dos EUA deliberadamente incendiou a ilha de Maui, no Havaí, para testar uma “arma climática” de grau militar. Além de postar o texto em pelo menos 31 idiomas em dezenas de sites e plataformas, a Storm-1376 usou imagens geradas por IA de estradas e residências costeiras em chamas para tornar o conteúdo mais chamativo.

Por fim, os norte-coreanos aprimoraram as operações de roubo de criptomoedas, realizaram ataques de cadeia de suprimentos de software e visaram seus adversários de segurança nacional em 2023. Essas operações são utilizadas para gerar receita para o governo norte-coreano – especialmente seu programa de armas – e coletar inteligência sobre os EUA, Coreia do Sul e Japão.

Um dos atores de ameaças rastreados pela Microsoft, chamado Sapphire Sleet, realizou uma série de pequenos, mas frequentes, operações de roubo de criptomoedas. O grupo desenvolveu novas técnicas para realizar essas operações, como enviar convites falsos para reuniões virtuais contendo links para um domínio do atacante e registrar sites falsos de recrutamento de empregos. A Sapphire Sleet é conhecida por visar executivos e desenvolvedores de organizações de criptomoedas, capital de risco e outras organizações financeiras.

Também vimos atores de ameaças norte-coreanos realizarem ataques de cadeia de suprimentos de software em empresas de TI, resultando em acesso a clientes downstream. Um grupo conhecido como Jade Sleet usou repositórios do GitHub e pacotes npm armados em uma campanha de engenharia social de spear-phishing que visava funcionários de organizações de criptomoedas e tecnologia. Os atacantes se passavam por desenvolvedores ou recrutadores, convidavam os alvos a colaborar em um repositório do GitHub e os convenciam a clonar e executar seu conteúdo, que continha pacotes npm maliciosos.

Outro grupo, conhecido como Onyx Sleet, explorou a vulnerabilidade TeamCity CVE-2023-42793 para realizar um ataque de execução de código remoto e obter controle administrativo de servidores. O grupo foi associado a ataques de cadeia de suprimentos de software em pelo menos 10 vítimas – incluindo um provedor de software na Austrália e um órgão governamental na Noruega – e usou ferramentas pós-comprometimento para executar cargas úteis adicionais.

À medida que a Coreia do Norte embarca em novas políticas governamentais e busca planos ambiciosos de testes de armas, podemos esperar roubos de criptomoedas e ataques de cadeia de suprimentos cada vez mais sofisticados direcionados ao setor de defesa. As equipes de segurança para defesa e setores relacionados devem permanecer vigilantes contra essas ameaças.