Microsoft vừa công bố một báo cáo mới từ bộ phận Threat Intelligence, trong đó cảnh báo các tác nhân đe dọa đang ngày càng khai thác AI sinh nội dung trong nhiều khâu khác nhau của chiến dịch tấn công mạng. Theo Microsoft, AI không còn chỉ là công cụ thử nghiệm hay hỗ trợ đơn lẻ, mà đang được dùng để gia tăng hiệu quả cho toàn bộ quá trình tấn công, từ chuẩn bị, tiếp cận mục tiêu cho tới khai thác và duy trì hiện diện trong hệ thống.
Báo cáo cho thấy các nhóm tấn công đang sử dụng công cụ AI tạo sinh cho nhiều mục đích, bao gồm thu thập thông tin mục tiêu, soạn email lừa đảo, dịch nội dung, tóm tắt dữ liệu đánh cắp được, tạo hoặc sửa mã độc, đồng thời hỗ trợ viết script và cấu hình hạ tầng phục vụ chiến dịch. Microsoft nhận định phần lớn hoạt động lạm dụng AI hiện nay vẫn xoay quanh khả năng tạo văn bản, viết mã và tạo nội dung đa phương tiện.
Theo Microsoft, trong các chiến dịch này AI chủ yếu được dùng để hỗ trợ và tăng tốc cho tin tặc. Công nghệ này giúp chúng xử lý nhiều công việc nhanh hơn, từ soạn nội dung lừa đảo, viết mã cho đến dựng hạ tầng phục vụ tấn công, nhờ đó giảm bớt yêu cầu về kỹ thuật và tiết kiệm thời gian. Tuy nhiên, AI chưa tự thực hiện toàn bộ cuộc tấn công. Người đứng sau vẫn là bên chọn mục tiêu, quyết định cách tiếp cận và điều phối toàn bộ chiến dịch. Nói cách khác, AI đang giúp các cuộc tấn công trở nên nhanh hơn, dễ triển khai hơn và hiệu quả hơn, chứ chưa thay thế hoàn toàn vai trò của con người.
AI đang được dùng như thế nào trong các chiến dịch tấn công?
Báo cáo của Microsoft chỉ ra rằng nhiều nhóm tin tặc đã bắt đầu tích hợp AI vào quy trình tấn công thực tế. Trong số đó có các nhóm bị Microsoft theo dõi dưới tên Jasper Sleet (Storm-0287) và Coral Sleet (Storm-1877) được cho là có liên quan tới Triều Tiên. Những nhóm này đã sử dụng AI trong các chiến dịch giả danh nhân sự công nghệ thông tin làm việc từ xa.
Ở các chiến dịch này, công cụ AI được dùng để tạo hồ sơ nhận dạng giả với mức độ chân thực cao, bao gồm tên tuổi phù hợp văn hóa, định dạng email, sơ yếu lý lịch và nội dung trao đổi phục vụ quá trình xin việc. Mục tiêu là được tuyển vào các công ty phương Tây dưới danh nghĩa nhân sự IT làm việc từ xa, từ đó duy trì quyền truy cập vào hệ thống nội bộ.
Microsoft cho biết nhóm Jasper Sleet đã sử dụng các nền tảng AI tạo sinh để hợp lý hóa quá trình xây dựng danh tính số giả mạo. Chẳng hạn, chúng yêu cầu AI tạo danh sách tên Hy Lạp hoặc đề xuất định dạng email dựa trên một danh tính cụ thể, sau đó dùng các kết quả này để “đóng gói” một hồ sơ cá nhân có vẻ đáng tin cậy hơn. Không dừng ở đó, nhóm này còn dùng AI để phân tích tin tuyển dụng trong lĩnh vực phát triển phần mềm và CNTT trên các nền tảng nghề nghiệp, từ đó trích các kỹ năng cần thiết và điều chỉnh hồ sơ giả sao cho khớp với vị trí đang tuyển.
Không chỉ Microsoft lên tiếng cảnh báo
Microsoft không phải là đơn vị duy nhất đưa ra cảnh báo về xu hướng này. Trước đó, Google cũng cho biết các tác nhân đe dọa đang lạm dụng Gemini AI ở hầu hết các giai đoạn của một cuộc tấn công mạng. Amazon và blog bảo mật Cyber and Ramen cũng từng ghi nhận một chiến dịch sử dụng nhiều dịch vụ AI tạo sinh để hỗ trợ tấn công, dẫn tới việc xâm nhập hơn 600 tường lửa FortiGate.
Những cảnh báo liên tiếp từ các hãng công nghệ lớn cho thấy AI đang trở thành một biến số mới trong an ninh mạng toàn cầu. Vấn đề không còn là liệu tin tặc có dùng AI hay không, mà là chúng đang dùng AI sâu tới đâu và doanh nghiệp có kịp thích nghi với tốc độ thay đổi đó hay không.
Theo: BleepingComputer
