In einer bedeutenden Entwicklung im Bereich der Cybersicherheit hat OpenAI mehrere Benutzerkonten identifiziert und gesperrt, die mit bekannten nordkoreanischen Hackergruppen in Verbindung stehen. Diese Gruppen nutzten die KI-Plattform ChatGPT gezielt zur Vorbereitung von Cyberangriffen. Der im Februar veröffentlichte Bedrohungsbericht enthüllt detailliert, wie die Angreifer künstliche Intelligenz für die Analyse potenzieller Ziele und die Entwicklung von Einbruchsmethoden einsetzten.
Identifizierte APT-Gruppen und ihre Aktivitäten
Die Untersuchungen führten zur Aufdeckung von Konten, die mit zwei prominenten Advanced Persistent Threat (APT) Gruppen verbunden sind: VELVET CHOLLIMA (auch bekannt als Kimsuky und Emerald Sleet) sowie STARDUST CHOLLIMA (APT38, Sapphire Sleet). Die erfolgreiche Identifizierung erfolgte durch eine enge Zusammenarbeit zwischen OpenAI und einem führenden Cybersicherheitsunternehmen.
Sophistizierte Angriffsmethoden unter Verwendung von KI
Die Threat Actors nutzten ChatGPT für verschiedene maligne Aktivitäten, darunter:
- Entwicklung und Debugging von Remote Access Trojans (RATs)
- Implementierung von RDP-Brute-Force-Tools
- Manipulation existierender Sicherheitssoftware
- Analyse von Kryptowährungstechnologien
Aufgedeckte Infrastruktur und Command & Control Server
Während ihrer Aktivitäten machten die Angreifer einen kritischen Fehler: Sie exponierten versehentlich URLs ihrer Command-and-Control (C2) Server, die Malware enthielten. Diese Informationen wurden umgehend an spezialisierte Scanning-Services weitergeleitet, wodurch die Schutzmaßnahmen für potenzielle Opfer verstärkt werden konnten.
Sophistizierte Beschäftigungsbetrugsszenarien
Ein besonders beunruhigender Aspekt der Untersuchung war die Aufdeckung eines ausgeklügelten Beschäftigungsbetrugs. Die Akteure nutzten ChatGPT zur Erstellung überzeugender Tarnidentitäten, die es nordkoreanischen IT-Spezialisten ermöglichen sollten, Positionen in westlichen Unternehmen zu erlangen – mit dem mutmaßlichen Ziel, Finanzmittel für Nordkorea zu generieren.
Chinesische Einflussoperationen im Fokus
Der Bericht identifizierte zudem zwei mutmaßlich chinesische Operationen: Peer Review, die ChatGPT für Social-Media-Monitoring-Tools nutzte, und Sponsored Discontent, die sich auf die Erstellung mehrsprachiger Desinformationsinhalte konzentrierte.
Dieser Vorfall unterstreicht die wachsende Bedrohung durch den Missbrauch von KI-Technologien für cyberkriminelle Aktivitäten. Organisationen sollten ihre Sicherheitsmaßnahmen verstärken und ein robustes Monitoring verdächtiger KI-bezogener Aktivitäten implementieren. Besonders wichtig sind dabei die Einführung strenger Zugriffskontrollen für KI-Systeme, regelmäßige Sicherheitsaudits und die Schulung von Mitarbeitern im Umgang mit KI-gestützten Bedrohungen.
