A la Une

C’est ainsi que l’intelligence artificielle deviendra une arme lors de futures cyberattaques.

Les décisions autonomes en temps réel ne sont que certaines des techniques que l’IA peut apporter.

Selon les chercheurs, l’intelligence artificielle a le potentiel de proposer un ensemble de techniques avancées sélectionnées en matière de cyber-infraction.

Jeudi, des chercheurs de Darktrace (.PDF) ont déclaré que le paysage actuel des menaces est plein, qu’il s’agisse de kiddies de script ou d’attaques opportunistes ou d’agressions avancées commanditées par l’État, et que, dans ce dernier sens, les attaques continuent d’évoluer.

Cependant, pour chaque attaque sophistiquée actuellement utilisée, il existe un potentiel de développement ultérieur grâce à l’utilisation future de l’IA.

Dans le rapport, la société de cybersécurité a documenté trois menaces actives dans la nature qui ont été détectées au cours des 12 derniers mois. L’analyse de ces attaques – et un peu d’imagination – a conduit l’équipe à créer des scénarios d’IA qui pourraient un jour devenir réalité.

« Nous nous attendons à ce que les logiciels malveillants axés sur l’IA commencent à imiter le comportement généralement attribué aux opérateurs humains en exploitant la contextualisation », a déclaré Max Heinemeyer, directeur de Threat Hunting chez Darktrace. « Mais nous prévoyons également le contraire: des groupes d’agresseurs humains avancés utilisant des implants basés sur l’IA pour améliorer leurs attaques et leur permettre de mieux s’adapter. »

Trickbot

La première attaque concerne un employé d’un cabinet d’avocats qui a été victime d’une campagne de phishing entraînant une infection par Trickbot.

Trickbot est un cheval de Troie financier qui utilise la vulnérabilité Windows EternalBlue afin de cibler des banques et d’autres institutions. Le logiciel malveillant continue d’évoluer et est actuellement équipé d’injecteurs, de modules d’obscurcissement (obfuscation), de vol de données et de mécanismes de verrouillage.

Dans cet exemple, Trickbot a pu infecter 20 autres périphériques sur le réseau, ce qui a entraîné un processus de nettoyage coûteux. Les modules Empire Powershell ont également été découverts et sont généralement utilisés dans les cas d’infiltration à distance par le clavier après une infection.

Le rôle futur d’IA

Darktrace pense que les logiciels malveillants renforcés par l’intelligence artificielle pourront à l’avenir se propager et utiliser toutes les vulnérabilités proposées pour compromettre un réseau.

« Imaginez une attaque de type ver, comme WannaCry, qui, au lieu de compter sur une forme de mouvement latéral (par exemple l’exploit EternalBlue), pourrait comprendre l’environnement cible et choisir les techniques de déplacement latéral en conséquence », explique la société.

Si les vulnérabilités choisies sont corrigées, par exemple, le logiciel malveillant pourrait alors basculer vers des attaques par force brute, la saisie au clavier et d’autres techniques qui ont fait leurs preuves par le passé dans des environnements cibles similaires.

Comme l’IA pouvait s’asseoir, apprendre et « décider » d’une technique d’attaque, aucun serveur traditionnel de commandement et contrôle (C2) ne serait nécessaire.

Voir aussi: Lancement d’un projet pilote d’agent d’intelligence artificielle pour dénoncer les menteurs aux frontières de l’UE

Doppelgängers

Dans une entreprise de services publics, un appareil chargé de logiciels malveillants utilisait diverses tactiques de dissimulation et d’obscurcissement pour rester caché.

Un fichier a été téléchargé sur le périphérique à partir d’un service Amazon S3 qui a créé une porte dérobée dans le réseau compromis, à l’aide d’un certificat SSL auto-signé qui a rendu les contrôles de sécurité standard trompeurs. Le trafic a été envoyé via les ports 443 et 80 pour se fondre dans l’environnement.

« OSINT (Open Source Intelligence) suggère que cet acteur particulier de la menace utilise des techniques alternatives de Doppelgänger pour réduire la détectabilité dans d’autres infrastructures », explique Darktrace.

Le rôle futur d’IA

Il est possible que l’IA soit utilisée pour mieux s’adapter à son environnement. De la même manière, comme auparavant, la contextualisation peut être utilisée pour se fondre, mais l’IA pourrait également être utilisée pour imiter des éléments de système fiables, améliorant ainsi la furtivité.

« Au lieu de deviner pendant quelles périodes les opérations commerciales normales sont menées, il l’apprendra », suggère le rapport. « Plutôt que de deviner si un environnement utilise principalement des machines Windows ou Linux, ou si Twitter ou Instagram serait un meilleur canal […], il sera en mesure de comprendre quelle communication est dominante dans le réseau de la cible et se fondre avec dans cela. »

Modes de vie

Dans le dernier exemple, Darktrace a découvert un logiciel malveillant appartenant à une société de technologie médicale. La particularité de ces conclusions est que les données ont été volées à un rythme si lent et dans des paquets minuscules qu’elles ont évité de déclencher des seuils de volume de données dans les outils de sécurité.

Plusieurs connexions ont été établies vers une adresse IP externe, mais chaque connexion contenait moins de 1 Mo. Malgré les petits paquets, plus de 15 Go d’informations ont été volés.

En s’attaquant progressivement à l’activité quotidienne du réseau, les attaquants à l’origine de la violation de données ont pu voler les noms, adresses et antécédents médicaux de patients.

Le rôle futur d’IA

L’intelligence artificielle pourrait non seulement servir d’intermédiaire pour des attaques incroyablement rapides, mais également des assauts « faibles et lents », mais aussi être utilisée comme un outil permettant de déterminer les taux de transfert de données qui signaleraient une activité aux solutions de sécurité.

Au lieu de s’appuyer sur un seuil codé en dur, par exemple, les logiciels malveillants basés sur l’IA seraient capables d’adapter de manière dynamique les taux et les temps de vol de données afin d’exfiltrer les informations sans les détecter.

TechRepublic: les 14 entreprises du secteur de la technologie de l’IA devraient poursuivre

« L’extrapolation d’attaques basées sur l’IA est tout à fait réaliste. Nous observons les caractéristiques sophistiquées des logiciels malveillants existants, d’une part, et le contexte de compréhension de l’IA à la volée, de l’autre côté », déclare Darktrace. « La combinaison des deux va marquer un changement de paradigme pour le secteur de la cybersécurité. Les entreprises ne parviennent déjà pas à lutter contre les menaces avancées telles que les nouvelles souches de ransomware utilisant des outils hérités. »

« La cyberintelligence artificielle défensive est la seule chance de préparer le prochain changement de paradigme dans le paysage des menaces lorsque les logiciels malveillants pilotés par l’IA deviennent une réalité », a ajouté la société. « Une fois que le génie est sorti de la bouteille, il ne peut plus être réintroduit. »

 Charlie Osborne

Charlie Osborne est un journaliste et photographe spécialisée dans la cybersécurité qui écrit pour ZDNet et CNET à Londres. Clé PGP: AF40821B

Traduction : Jean de Dieu MOSSINGUE

MIRASTNEWS

Source : ZDNet

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :