Wie KI bei Cyberangriffen eingesetzt wird

"Etwas, das vielleicht ein paar Tage gedauert hat, jetzt erledigen sie es in wenigen Minuten"

Image:
KI als Werkzeug gegen Cyberangriffe (Bild wurde mit KI erstellt)

Bei einer Medienveranstaltung in London enthüllten die Leiter der Blue und Red Teams von Orange Cyberdefense, der Cybersicherheitstochter von Orange Telecom mit Hauptsitz in Paris, die Art und Weise, wie KI-Tools von Angreifern genutzt werden und wie sich die Landschaft entwickelt.

Mit Ausnahme von Deepfake-Imitationen gibt es nichts besonders Neues an der Art und Weise, wie KI für Cyberangriffe eingesetzt wird. Vielmehr wird es eingesetzt, um bestehende Prozesse zu beschleunigen und zu automatisieren und gefälschte Seiten und Botschaften überzeugender zu machen.

Was kein Grund zur Selbstzufriedenheit ist. Weit davon entfernt. Hacker können jetzt in Minuten oder Stunden tun, was damals Tage gedauert hat. Und in der altehrwürdigen Tradition des IT-Marketings wird ihnen das Zeit geben, sich auf Aufgaben zu konzentrieren, die wertvoller und produktiver sind - und das ist keine gute Nachricht für den Rest von uns.

"Bedrohungsakteure nutzen schnell neue Techniken und Technologien, wie z. B. KI, und markieren sie dann mit VPNs, und schon segeln sie einfach hinein. Und wenn sie erst einmal drin sind, ist das Spiel vorbei", sagte CSIRT-Analystin Samantha Caven, ein Mitglied des (defensiven) Blue Teams.

"Sie nutzen es, um EDR [Endpoint Detection and Response] zu umgehen und letztendlich Benutzer zu manipulieren. Etwas, das vielleicht ein paar Tage gedauert hat, jetzt erledigen sie es in wenigen Minuten."

Schneller seitwärts bewegen

Genauer gesagt nutzen Bedrohungsakteure KI, um produktiver zu werden bei der Aufklärung und dem Fuzzing (Sondierung von Abwehrmaßnahmen mit unerwarteten Daten) und bei der Verkettung von Angriffen.

"Wir nutzen KI, um uns sehr, sehr schnell seitlich zu bewegen", sagte Stuart Kennedy, Red-Teamer und Leiter des Pen-Testing-Teams, dessen Aufgabe es ist, zu versuchen, die Abwehrmaßnahmen des Blue Teams zu umgehen und die realen Bedingungen nachzuahmen, mit denen Unternehmen konfrontiert sind.

In Kombination mit einem Pen-Testing-Tool wie BloodHound, das verborgene Beziehungen in einer Active Directory-Umgebung aufdeckt, können KI-Hacking-Tools dem Bedrohungsakteur sagen, wen er ins Visier nehmen soll, was er tun und wonach er suchen soll, fügte er hinzu. "Dann brauche ich an all das nicht zu denken."

Stattdessen kann er am Ende des Prozesses einsteigen, wenn feine Diskretion und menschliche Erfahrung erforderlich sind. "Als Hacker wird es meinen Job nicht ersetzen, aber es ist ein Werkzeug, das mir hilft, schneller voranzukommen."

Autonome Angriffsagenten und Deepfakes

Angreifer verwenden häufig Open-Source-Tools, die kostenlos heruntergeladen und angepasst werden können, darunter besorgniserregend angriffsfokussierte LLMs, die von Hugging Face und anderen Model-Repositories heruntergeladen werden können. Kennedy sagte, er kenne zwei solcher Tools, die explizit auf Black Hats abzielen, und sei sich der Bemühungen bewusst, immer effektivere autonome Angriffsagenten zu entwickeln.

Diejenigen, die hinter solchen Tools stehen, mögen offen über ihre offensiven Absichten sprechen (zumindest bis sie abgeschaltet werden), aber die meisten Open-Source-Tools, die von Hackern verwendet werden, einschließlich Cobalt Strike und BloodHound, sind legitime defensive Lösungen. Genauso ist es mit KI. Dabei handelt es sich um Technologien mit doppeltem Verwendungszweck.

Mit frei herunterladbaren Tools lassen sich auch überzeugende Deepfake-Videos erstellen, die nur auf einem Foto plus ein paar Sekunden Audio basieren. Berüchtigt ist, dass ein Mitarbeiter des Ingenieurbüros Arup dazu gebracht wurde, authorising a fraudulent multimillion pound transaction auf der Grundlage eines Deepfake-Videoanrufs, aber solche Videos oder Stimmabdrücke werden eher zur Unterstützung anderer Methoden verwendet, um Vertrauen aufzubauen oder den Druck zu erhöhen, als Teil eines mehrgleisigen Angriffs zu handeln.

KI kann auch verwendet werden, um polymorphe Malware zu erstellen, die sich im Laufe der Zeit verändert, um verräterische Signaturen zu vermeiden, die von Virenprüfern aufgegriffen und von Threat-Intelligence-Teams verbreitet werden können. Dies ist zwar ein aufkommender Trend, bei dem bisher nur wenige Samples in freier Wildbahn gefunden wurden, aber das bedeutet nicht, dass es ihn nicht gibt, sondern nur, dass er noch nicht entdeckt wurde, sagte Kennedy und fügte hinzu, dass sein Red Team KI-Modelle verwendet, um polymorphe Malware zu generieren, während es einen Bedrohungsakteurs des Blue Teams angreift.

Polymorphismus ist auch vorhanden bei phishing E-Mails mit kleinen Änderungen und einzigartigen Details, um die Personalisierung zu erhöhen und Duplikate und damit Blockierungen durch Gateways und Filter zu reduzieren. Phishing-Nachrichten sind heutzutage auch viel besser geschrieben, dank LLM-Chatbots wie Claude und ChatGPT, und KI wird auch eingesetzt, um überzeugendere gefälschte Landingpages zu generieren, aber glücklicherweise fehlt in Ermangelung der menschlichen Note oft der Glaubwürdigkeitsfaktor.

"Das Englisch ist besser, aber der Kontext ist oft schlechter, als wenn es von Menschen erzeugt wird", kommentierte ein Teilnehmer einer kürzlich durchgeführten Computerumfrage. Auch hier wäre es jedoch unklug, uns auszuruhen: Die Verbesserung der Nuancen wird zweifellos ein Bereich sein, an dem Bedrohungsgruppen derzeit arbeiten.

Ein weiteres Wachstumsfeld sind sogenannte kognitive Angriffe, wie sie von staatlich unterstützten Hacktivistengruppen praktiziert werden, bei denen es darum geht, Meinungen in großem Umfang zu verändern, Wahlen zu kippen oder das Vertrauen in Institutionen zu verringern. KI-Tools ermöglichen eine Skalierung und maßgeschneiderte Erzählungen.

KI in der Verteidigung

Aber wie bei jedem Automatisierungstool besteht das Hauptziel beim Einsatz von KI darin, die Effizienz zu steigern, und das geht in beide Richtungen. Verteidiger nutzen KI auch bei der Erkennung, Sichtung und Abwehr, und es gibt keinen Grund zu der Annahme, dass Angreifer im Moment einen Vorteil haben, so Hugues Foulon, CEO von Orange Cyberdefense. "Wir nutzen KI auch, um zu versuchen, unsere Kunden zu schützen, zu verteidigen, so dass wir dank der Gen AI noch kein Ungleichgewicht sehen", sagte er.

Bei der Verteidigung geht es darum, Muster zu finden und schnell zu handeln, wenn sie gefunden werden, und selbst polymorphe Malware und Nachrichten weisen verräterische Anzeichen auf, da GenAI selbst bis zu einem gewissen Grad vorhersehbar ist.

Das Blue Team, das an der Erprobung von Defensivwerkzeugen und -techniken beteiligt ist, geht jedoch vorsichtig vor, wenn es um den Einsatz von GenAI-Lösungen auf dem Markt geht, von denen einige unbewiesen gehypt werden. Es stellt sich immer noch die Frage, inwieweit Sie ihrer Ausgabe vertrauen sollten. "Wir gehen es ein bisschen langsam an", sagte Caven. "Wir wollen zuerst sicherstellen, dass es richtig ist, das Letzte, was wir brauchen, ist Chaos."

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing