Các cuộc tấn công có chủ đích - hay còn được gọi là APT (Advanced Persistent Threat) - đang có sự tham gia của AI, chia sẻ mới nhất từ Kaspersky cho biết. Theo đó, chuyên gia từ Công ty an ninh mạng toàn cầu này đã ttrình bày cách mà AI có thể bị tội phạm mạng sử dụng trong từng giai đoạn của một cuộc tấn công mạng tinh vi.

Noushin Shabab - Nhà Nghiên cứu Bảo mật Cấp cao thuộc nhóm Nghiên cứu và Phân tích toàn cầu khu vực châu Á - Thái Bình Dương (APAC) của Kaspersky cảnh báo: "Ngoài việc phát triển phần mềm độc hại, AI còn có thể được sử dụng trong nhiều giai đoạn khác nhau của một cuộc tấn công mạng tinh vi. Ngày nay, các hacker APT kết hợp các kỹ thuật phức tạp để tránh bị phát hiện và các cách lén lút để tồn tại lâu dài. Những phát triển mới của AI có thể hỗ trợ tội phạm mạng từ giai đoạn thăm dò đến đánh cắp dữ liệu".

Giai đoạn Thăm dò của tấn công có chủ đích

Theo Shabab, hiện tại có ít nhất 14 nhóm APT đang hoạt động tại APAC. Một trong số đó là Origami Elephant, được biết đến với việc mua lại tên miền và máy chủ riêng ảo trong giai đoạn phát triển tài nguyên. Tác nhân đe dọa này (còn gọi là nhóm DoNot, APT-C-35, SECTOR02) đã nhắm mục tiêu vào khu vực Nam Á với mối quan tâm đặc biệt đến chính phủ và quân sự, chủ yếu ở Pakistan, Bangladesh, Nepal và Sri Lanka kể từ đầu năm 2020.

Trong khi đó, nhóm gián điệp mạng và phá hoại APT khét tiếng Lazarus đã sử dụng các nền tảng mạng xã hội và ứng dụng nhắn tin như LinkedIn, WhatsApp và Telegram để tiếp cận mục tiêu. Chúng cũng được biết đến với việc xâm phạm các dịch vụ web, đơn cử như các trang web Wordpress dễ bị tấn công, để tải lên các tập lệnh độc hại.

"Trong giai đoạn thăm dò, AI có thể giúp các tác nhân tấn công tìm kiếm và hiểu biết về các mục tiêu tiềm năng bằng cách tự động phân tích dữ liệu từ nhiều nguồn khác nhau, như cơ sở dữ liệu trực tuyến và nền tảng mạng xã hội, cũng như thu thập thông tin về nhân sự, hệ thống và ứng dụng của mục tiêu được sử dụng trong công ty. Các cỗ máy thông minh thậm chí có thể phát hiện ra điểm yếu bằng cách đánh giá chi tiết nhân viên của công ty, mối quan hệ của bên thứ ba và kiến trúc mạng của công ty", Shabab nói. 

Giai đoạn truy cập ban đầu

Spear phising vẫn là kỹ thuật truy cập ban đầu được các nhóm APT ở APAC ưa chuộng. 10/14 nhóm tội phạm mạng đang hoạt động trong khu vực sử dụng chiến thuật này để đột nhập vào mạng mục tiêu.

Spear phishing là một hình thức lừa đảo qua email hoặc truyền thông điện tử nhắm tới một cá nhân, tổ chức hoặc doanh nghiệp cụ thể. Giai đoạn này, AI có thể giúp tội phạm mạng tạo ra các thông điệp lừa đảo được cá nhân hóa và mang tính thuyết phục cao.

Shabab giải thích: "AI có thể phân tích các mô hình trong hoạt động của mạng và hệ thống, đồng thời khởi động các cuộc tấn công trong thời điểm mà khả năng bảo mật thấp hoặc có độ nhiễu động cao. Do đó, cỗ máy có thể hỗ trợ tội phạm mạng tìm ra thời điểm tốt nhất cho chiến dịch lừa đảo để có quyền truy cập ban đầu vào mạng của nạn nhân".

Công nghệ này cũng có thể tăng cường các cuộc tấn công brute-force truyền thống bằng cách chọn mật khẩu có khả năng xảy ra một cách thông minh dựa trên các mẫu, danh mục và các vi phạm có sẵn trước đó. Bằng cách phân tích các mẫu hành vi của người dùng, hoạt động trên mạng xã hội và thông tin cá nhân, thuật toán AI có thể đưa ra những phỏng đoán có cơ sở về mật khẩu, tăng cơ hội truy cập thành công.

Giai đoạn thực thi

Trong giai đoạn thực thi, AI có khả năng điều chỉnh hoạt động và khả năng thích nghi của phần mềm độc hại để đối phó với các biện pháp bảo mật, gia tăng cơ hội của một cuộc tấn công thành công. Bên cạnh đó, AI cũng có khả năng làm cho các phần mềm độc hại biến đổi theo môi trường bằng cách thay đổi cấu trúc mã để tránh bị các công cụ bảo mật phát hiện.

Trình thông dịch lệnh và tương tác do AI chọn cũng có thể phân tích môi trường mục tiêu, giúp bọn tội phạm mạng hiểu các đặc điểm của hệ thống và chọn các tùy chọn phù hợp nhất để chạy các tập lệnh hoặc lệnh độc hại. Các chiến thuật tấn công phi kỹ thuật do AI điều khiển cũng có thể làm tăng khả năng người dùng tương tác với các tệp độc hại và khả năng thành công của giai đoạn thực thi.

Giai đoạn tồn tại

Theo Shabab, các kỹ thuật phổ biến nhất của các nhóm APT ở APAC là: Scheduled Task/Job (Lên lịch cho các tác vụ độc hại); Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder (Khởi chạy tự động khi khởi động máy hoặc đăng nhập)

Ở giai đoạn này, AI có thể tạo tập lệnh phù hợp nhất để khởi chạy phần mềm độc hại dựa trên phân tích hành vi của người dùng. Các tác nhân đe dọa cũng có thể phát triển phần mềm độc hại do AI cung cấp có thể tự động điều chỉnh các cơ chế tồn tại lâu dài dựa trên những thay đổi trong môi trường mục tiêu.

Các cơ chế giám sát do AI điều khiển cũng có thể theo dõi các thay đổi của hệ thống và điều chỉnh các chiến thuật “lẩn trốn” phù hợp. Ngoài ra, các kỹ thuật do AI hướng dẫn cũng có thể điều khiển các mục nhập Windows Registry để cập nhật các khóa registry và tránh bị phát hiện.

Giai đoạn Đánh cắp dữ liệu và Tác động

Theo Shabab, AI có thể phân tích lưu lượng truy cập mạng để phối hợp tốt hơn với các hành vi mạng thông thường và xác định kênh liên lạc phù hợp nhất nhằm đánh cắp dữ liệu của từng nạn nhân. Công nghệ này thậm chí có thể tối ưu hóa việc che giấu, nén và mã hóa dữ liệu bị đánh cắp để tránh bị phát hiện lưu lượng truy cập bất thường.

Đồng thời, AI có thể hỗ trợ tối đa hóa tác động của cuộc tấn công bằng cách nâng cao hiệu lực và hiệu quả hành động của kẻ tấn công.

Để tăng cường khả năng phòng thủ của doanh nghiệp và tổ chức trước các cuộc tấn công APT được hỗ trợ bởi AI, chuyên gia từ Kaspersky khuyến nghị các doanh nghiệp tổ chức cần tìm kiếm Giải pháp bảo mật nâng cao; Cập nhật phần mềm thường xuyên; Đào tạo và nâng cao nhận thức cho nhân viên; Sử dụng Xác thực đa yếu tố (MFA).