Le marché noir des Intelligences Artificielles. Voici les "MALLA" !

(Pour Carlo Mauceli)
30/09/24

L’évolution de l’intelligence artificielle a permis des progrès notables dans plusieurs secteurs mais a également ouvert la voie à de nouvelles techniques d’attaque ainsi que la possibilité de nouvelles activités malveillantes. Dans ce nouveau scénario, les « Malla » représentent un menace émergente et sophistiquée.

Ils s'appellent MALLA et, si vous n'en avez pas encore entendu parler, c'est parce qu'il s'agit d'un terme assez récent, inventé pour représenter des services qui utilisent des modèles linguistiques avancés pour automatiser et améliorer les cyberattaques à grande échelle.

Nous parlons du marché noir des intelligences artificielles maléfiques et il se développe rapidement partout dans le monde. Les cybercriminels ont été parmi les premiers à exploiter le potentiel de l’intelligence artificielle et des modèles linguistiques avancés. Comment ça se fait? Pour offrir quoi ?

Simple : les services malveillants, de la génération de code malveillant à la création d'emails de phishing, en passant par la création de sites internet malveillants et, plus généralement, tout ce qui leur permet de créer les conditions pour lancer une cyberattaque.

Comment fonctionnent les Mallas ? Comment compromettent-ils notre sécurité ?

Nous en parlons dans cet article en analysant un document créé par certains chercheurs de l’Université de Bloomington intitulé : «Démystifier les services malveillants intégrés dans un modèle de langage étendu" .

Comme nous l'avions prévu, les Mallas sont des services malveillants qui intègrent des modèles de langage étendus (LLM) pour créer des outils d'attaque extrêmement efficaces. Elles diffèrent grandement des attaques traditionnelles car elles ne nécessitent pas de compétences techniques élevées. En fait, les Mallas permettent aux cybercriminels d'exploiter les capacités de l'intelligence artificielle pour générer du code malveillant et automatiser les campagnes. phishing et créer une infrastructure d’attaque rapidement et efficacement.

Ces services sont souvent disponibles sur marché du Web sombre, où ils sont vendus à des criminels aux compétences différentes, des débutants aux experts. Par conséquent, Mallas veille à ce que les barrières à l’entrée de la cybercriminalité soient abaissées, permettant ainsi de lancer des attaques sophistiquées contre presque n’importe qui avec très peu d’efforts, d’investissements et de ressources.

Voyons quelle est leur utilisation principale et quels sont les différents types de cyberattaques qu'ils sont capables de générer:

  1. Génération de code malveillant. C’est l’un des domaines d’utilisation les plus courants des Mallas. Grâce à un LLM, les criminels sont capables de créer des scripts ad hoc et des malwares pour exploiter des vulnérabilités spécifiques des systèmes. Ces modèles analysent et comprennent le contexte et les spécifications techniques d'un système cible donné, générant un code capable d'échapper aux défenses traditionnelles. Un exemple réel, également documenté, est celui d'un groupe de hackers qui ont utilisé un service Malla pour construire Exploit de 0 jour. Cela leur a permis d'attaquer des systèmes critiques sans être détectés pendant des mois. Le code était si sophistiqué qu’il a réussi à échapper même aux systèmes de détection avancés basés sur l’IA.

  2. Création d'e-mails de phishing. C’est un domaine dans lequel les Mallas sont extrêmement efficaces. Grâce à la compréhension du langage naturel, les modèles linguistiques peuvent générer des e-mails parfaits pour les ingénieurs sociaux qui imitent parfaitement le ton et le style des communications d'entreprise. Il est clair que reconnaître la tromperie devient extrêmement compliqué.
    En réalité, le cas d'un organisme financier, victime d'un, est connu campagne de phishing très sophistiqué. Les courriels générés ont trompé plusieurs employés, compromettant l'infrastructure de la victime, exfiltrant des informations sensibles et causant à l'institution une perte financière importante. Aucun filtre de phishing n'a pu détecter les e-mails en raison du niveau de sophistication et de qualité avec lequel ils ont été créés

  3. Création de sites de phishing. Une autre utilisation de Mallas est la création automatisée de sites Web de phishing. Il s'agit d'imitations de sites légitimes qui visent à collecter des données sensibles telles que des identifiants de connexion, des informations financières et des données personnelles. Dans ce cas également, la qualité des sites créés est très élevée, ce qui les empêche d'être reconnus même par les systèmes les plus experts. Un cas qui s'est produit concerne un faux site de commerce électronique qui a réussi à escroquer des milliers de clients. Le site était une copie presque identique d'un détaillant en ligne bien connu, avec des certificats SSL et un style très similaire. Les utilisateurs qui ont saisi leurs informations de paiement ont ensuite été victimes d'une fraude financière.

  4. Automatisation des attaques d'ingénierie sociale. Les Mallas sont également capables d'automatiser les attaques ingénierie sociale. Ces modèles peuvent analyser de grands volumes de données, identifier les vulnérabilités humaines et générer des scripts qui convainquent les victimes d'effectuer des actions compromettantes, telles que cliquer sur des liens malveillants ou fournir des informations de connexion.
    Exemple réel : dans une campagne hameçonnage, un Malla a été utilisé pour créer de faux profils sociaux qui ont interagi avec les victimes pendant des semaines, gagnant ainsi leur confiance. Finalement, les victimes ont été amenées à transférer des fonds vers des comptes bancaires contrôlés par les pirates. L'ensemble du processus a été automatisé, minimisant ainsi l'intervention humaine des criminels.

L'émergence de Malla a fondamentalement transformé le paysage de la cybersécurité. Ces services augmentent non seulement l'efficacité des attaques, mais rendent également plus difficile la défense contre celles-ci. Les impacts les plus significatifs sont :

  • Augmentation de la fréquence et de la complexité des attaques : les Mallas réduisent le temps et les ressources nécessaires pour lancer des attaques complexes en augmentant considérablement leur nombre.

  • Qualité d'attaque améliorée : La capacité des LLM à générer du contenu réaliste et personnalisé rend la détection et l’interception des attaques elles-mêmes de plus en plus difficiles. Les systèmes de défense traditionnels, basés sur des modèles et des signatures, échouent souvent face à ces menaces avancées.

  • Réduire les barrières à l’entrée de la cybercriminalité : Les Mallas permettent de démocratiser la cybercriminalité. Qu'est-ce que ça veut dire? Cela signifie que même les criminels disposant de compétences techniques limitées sont capables de lancer des attaques sophistiquées, ce qui entraîne une augmentation du nombre de criminels potentiels.

  • Impact économique et réputationnel : Les attaques rendues « plus simples » par l'utilisation de Mallas peuvent causer des dommages économiques importants aux entreprises, avec pour conséquence des dommages à la réputation qui peuvent conduire à la méfiance de leurs clients.

Pour contrer la Malla il est nécessaire d’avoir une approche avancée et multicouche telle que :

  1. Développement de l’IA défensive. Il faut avant tout lutter sur un pied d’égalité et, par conséquent, il est nécessaire de développer des systèmes d’intelligence artificielle capables de détecter et de bloquer les attaques générées par ces services. L'IA de défense peut analyser les modèles de comportement, les anomalies du trafic réseau et d'autres indicateurs de compromission (IoC) en temps réel, afin de pouvoir répondre immédiatement aux menaces. Un exemple est celui relatif à l’utilisation de plateformes d’IA capables d’identifier les tentatives de phishing générées par Malla grâce à l’analyse linguistique des e-mails. Le concept est de disposer d’un système capable d’apprendre en continu compte tenu de la vitesse d’évolution des techniques d’attaque. Cela alimente leur capacité de détection, réduisant ainsi le risque de compromission.

  2. Éducation et sensibilisation des utilisateurs. Une autre stratégie qui a toujours été considérée comme essentielle dans le domaine de la prévention est l’éducation des utilisateurs. Sensibiliser les utilisateurs aux nouvelles méthodologies d’attaque est la base pour leur permettre de reconnaître les signes de danger et d’adopter des comportements sûrs. De ce point de vue, il est important que les entreprises définissent et proposent des programmes de formation continue pour leurs collaborateurs, avec des simulations d'attaques de phishing et autres exercices pratiques

  3. Collaboration internationale. Aujourd’hui, ceux qui détiennent le pouvoir technologique auront également le pouvoir politique et, par conséquent, puisque la cybercriminalité est un phénomène mondial et a une portée mondiale, une coopération internationale est nécessaire pour surveiller, identifier et démanteler les Mallas.
    Par exemple, des opérations menées conjointement par Europol et des sociétés de cybersécurité ont permis de saisir les serveurs utilisés pour exploiter les services Malla, de démanteler les réseaux criminels et d'arrêter les responsables.

  4. Élaboration de règles et règlements. Il est tout aussi important que l’utilisation des LLM soit réglementée afin d’éviter qu’ils ne soient utilisés à des fins malveillantes. Il serait utile d’introduire une législation pour réglementer l’utilisation et le développement de modèles linguistiques avancés.

La vague technologique ne peut être stoppée et, trop souvent, elle est mal utilisée. On peut déjà prédire que je Malla ils deviendront de plus en plus sophistiqués et répandus. La capacité des Mallas à créer des cyberattaques de plus en plus difficiles à détecter va croître de façon exponentielle avec la croissance et le développement de modèles de langage de nouvelle génération, tels que GPT-4. Il est également vrai, cependant, que si l’on prend conscience que ce nouveau phénomène existe et ne cesse de croître, il ne peut être atténué et réduit que par des investissements dans les nouvelles technologies de défense, l’éducation des utilisateurs et la collaboration internationale.

Références

https://arxiv.org/pdf/2401.03315

https://www.darkweb-guide.com/malla-demystifying-llm-integrated-malicious-services/