I ricercatori di sicurezza hanno identificato una campagna informatica in cui hacker con legami con la Cina hanno utilizzato l’intelligenza artificiale per condurre spionaggio informatico su larga scala e furto di dati. Lo sforzo, che ha preso di mira organizzazioni in più paesi, ha mostrato un alto grado di automazione e ha comportato una supervisione umana minima. Le società di analisi hanno affermato che l’incidente potrebbe segnare un punto di svolta nel modo in cui gli attori sostenuti dallo Stato conducono lo spionaggio digitale.
Secondo i rapporti, gli aggressori hanno utilizzato un modello che gestiva la maggior parte delle attività operative, dalla scansione dei sistemi all’estrazione dei dati e all’indirizzamento del malware. Gli agenti umani sono intervenuti solo nelle fasi chiave per approvare o reindirizzare il processo. L’uso dell’intelligenza artificiale ha permesso agli attori di condurre un’ampia serie di operazioni in un lasso di tempo più breve rispetto alle campagne tradizionali. Un ricercatore ha descritto come l’autore della minaccia “ha fatto clic su un pulsante e poi ha lasciato che il sistema eseguisse” il resto della catena di attacco.
Gli obiettivi includevano grandi aziende, dipartimenti governativi e fornitori di infrastrutture critiche. Sebbene il numero esatto di violazioni non sia stato reso pubblico, le fonti hanno affermato che la progettazione dell’attacco ha permesso di passare rapidamente dalla ricognizione allo sfruttamento una volta identificata una vulnerabilità. Gli investigatori hanno notato che il modello di intelligenza artificiale codificava i comandi e i payload in modi che riducevano il rilevamento e l’esfiltrazione dei dati spesso avveniva attraverso canali nascosti che sembravano essere traffico di rete di routine.
L’automazione degli strumenti di spionaggio solleva interrogativi sulla preparazione della difesa. I modelli di sicurezza tradizionali si basano sull’individuazione di comportamenti causati dall’uomo, come il phishing, i tentativi di accesso ripetuti o gli account utente insoliti. Ma quando la maggior parte dell’attività è guidata dall’intelligenza artificiale, senza un operatore umano evidente dietro ogni azione, il rilevamento diventa più complesso. Gli esperti hanno avvertito che i difensori devono adattarsi applicando autonomamente le soluzioni di intelligenza artificiale e migliorando il monitoraggio dei comportamenti avviati dalle macchine.
Implicazioni per la posizione globale di cybersecurity
L’uso dell’intelligenza artificiale da parte degli attori delle minacce legate allo Stato riflette una rapida evoluzione delle operazioni informatiche. Sempre più spesso, le campagne di spionaggio sfruttano l’automazione su larga scala, l’apprendimento automatico e flussi di lavoro semplificati per ridurre costi e tempi. Sebbene l’esperienza umana rimanga coinvolta, tali individui possono passare dall’esecuzione di compiti alla supervisione e al perfezionamento dei meccanismi di intelligenza artificiale. Il risultato è un modello di threat actor più agile che può mettere in discussione i framework di difesa esistenti.
Le agenzie di difesa e le aziende dovranno rivedere le loro valutazioni del rischio per tenere conto del ruolo crescente degli attacchi basati sull’intelligenza artificiale. I passaggi chiave includono l’implementazione di analisi comportamentali che si concentrano su processi autonomi piuttosto che solo sull’attività umana dell’utente, il miglioramento del rilevamento di comandi di sistema insoliti e la segregazione dei carichi di lavoro sensibili. Le organizzazioni sono inoltre incoraggiate a intensificare la cooperazione tra i settori e con le autorità nazionali per la cibersicurezza per condividere gli indicatori delle campagne basate sull’IA prima che si intensifichino.
L’incidente sottolinea anche la dimensione geopolitica dello spionaggio informatico. Quando l’intelligenza artificiale viene utilizzata per semplificare le operazioni di spionaggio, gli attori legati allo stato possono espandere significativamente la loro portata mantenendo una negazione plausibile. La capacità di lanciare un gran numero di attacchi con una supervisione umana minima aumenta il costo dell’attribuzione e complica la diplomazia. Man mano che i governi reagiscono, i rischi di escalation possono passare da incidenti isolati a campagne sostenute che si estendono per anni.
L’implementazione dello spionaggio potenziato dall’intelligenza artificiale da parte di attori legati alla Cina rappresenta una pietra miliare nei conflitti informatici. L’automazione ha consentito operazioni più rapide, più ampie e più segrete. I difensori devono seguire l’esempio e adattare le strategie di sicurezza in base alla velocità e alla portata di queste minacce.