L’evoluzione dell’intelligenza artificiale ha portato a notevoli progressi in diversi settori ma ha anche aperto la strada a nuove tecniche di attacco nonché alla possibilità di nuove attività malevole. In questo nuovo scenario, i "Malla" rappresentano una minaccia emergente e sofisticata.
Si chiamano MALLA e, se non ne avete sentito ancora parlare è perché si tratta di un termine sufficientemente recente, coniato al fine di rappresentare servizi che utilizzano modelli linguistici avanzati per automatizzare e potenziare attacchi informatici su larga scala.
Stiamo parlando del mercato nero delle intelligenze artificiali malvagie ed è in rapida espansione in tutto il mondo. I cyber criminali sono stati tra i primi a sfruttare le potenzialità dell’intelligenza artificiale ed i modelli linguistici avanzati. Come mai? Per offrire che cosa?
Semplice: servizi dannosi, dalla generazione di codice di malware alla creazione di email di phishing, alla creazione di siti web malevoli e, più in generale, a tutto ciò che permette loro di creare le condizioni per sferrare un attacco informatico.
Come funzionano i Malla? Come compromettono la nostra sicurezza?
Ne parliamo in questo articolo analizzando un documento realizzato da alcuni ricercatori dell’Università di Bloomington dal titolo: “Demystifying Large Language Model Integrated Malicious Services“.
Come anticipavamo, i Malla sono servizi malevoli che integrano modelli linguistici di grandi dimensioni (Large Language Models, LLM) per creare strumenti di attacco estremamente efficaci. Si distinguono moltissimo dagli attacchi tradizionali dal momento che non sono richieste competenze tecniche elevate. Infatti, i Malla permettono ai criminali informatici di sfruttare le capacità di intelligenza artificiale per generare codice malevolo, automatizzare campagne di phishing e costruire infrastrutture di attacco in modo rapido ed efficiente.
Questi servizi sono spesso disponibili su marketplace del dark web, dove vengono venduti a criminali con diverse competenze, dai principianti agli esperti. Pertanto, i Malla garantiscono l’abbassamento delle barriere d’ingresso per il cybercrime, permettendo di sferrare attacchi sofisticati quasi a chiunque con pochissimo sforzo, investimento e risorse.
Vediamo qual è il loro principale utilizzo e quali sono i vari tipi di attacchi informatici che sono in grado di generare:
-
Generazione di codice malevolo. Si tratta di uno degli ambiti più comuni di utilizzo dei Malla. Grazie ad un LLM, i criminali sono in grado di realizzare script e malware ad hoc per sfruttare specifiche vulnerabilità nei sistemi. Questi modelli analizzano e comprendono il contesto e le specifiche tecniche di un determinato sistema target, generando codice in grado di eludere le difese tradizionali. Un esempio reale, peraltro documentato, è quello relativo ad un gruppo di hacker che ha utilizzato un servizio Malla per costruire exploit di tipo 0-day. Ciò ha permesso loro di attaccare sistemi critici senza essere rilevati per mesi. Il codice era così sofisticato che è riuscito ad eludere anche i sistemi di rilevamento avanzati basati su AI.
-
Creazione di Email di Phishing. Questo è un ambito in cui i Malla sono estremamente efficaci. Utilizzando la comprensione del linguaggio naturale, i modelli linguistici possono generare email perfette dal punto di vista del social engineer, in grado di imitare perfettamente il tono e lo stile delle comunicazioni aziendali. Risulta chiaro che riconoscere l’inganno diventa estremamente complicato.
Nella realtà, è noto il caso di un’organizzazione finanziaria, vittima di una campagna di phishing altamente sofisticata. Le email generate hanno ingannato diversi dipendenti, compromettendo l’infrastruttura della vittima, esfiltrando informazioni sensibili e arrecando all’istituto una perdita finanziaria significativa. Nessun filtro anti-phishing è stato in grado di rilevare le email a causa del livello di sofisticazione e qualità con cui erano stato realizzate -
Creazione di Siti di Phishing. Un altro utilizzo dei Malla è la creazione automatizzata di siti web di phishing. Si tratta di imitazioni di siti legittimi che hanno l’obiettivo di raccogliere dati sensibili quali le credenziali di accesso, le informazioni finanziarie e i dati personali. Anche in questo caso, la qualità dei siti realizzati è altissima il che ne impedisce il riconoscimento anche ai sistemi più esperti. Un caso accaduto è relativo ad un sito di e-commerce falso che è riuscito a truffare migliaia di clienti. Il sito era una copia pressoché identica di un noto rivenditore online, con tanto di certificati SSL ed uno stile molto simile. Gli utenti che hanno inserito le loro informazioni di pagamento sono stati oggetto di successive frodi finanziarie.
-
Automazione degli Attacchi di Social Engineering. I Malla sono anche in grado di automatizzare attacchi di ingegneria sociale. Questi modelli sono in grado di analizzare grandi volumi di dati, identificare vulnerabilità umane e generare script che convincono le vittime a eseguire azioni compromettenti, come cliccare su link malevoli o fornire credenziali di accesso.
Esempio Reale: In una campagna di spear phishing, un Malla è stato utilizzato per creare profili social falsi che hanno interagito con le vittime per settimane, guadagnandosi la loro fiducia. Alla fine, le vittime sono state indotte a trasferire fondi a conti bancari controllati dagli hacker. L’intero processo è stato automatizzato, riducendo al minimo l’intervento umano da parte dei criminali.
L’emergere dei Malla ha trasformato radicalmente il panorama della sicurezza informatica. Questi servizi non solo aumentano l’efficacia degli attacchi, ma rendono anche più difficile la difesa contro di essi. Gli impatti più significativi sono:
-
Aumento della Frequenza e della Complessità degli Attacchi: i Malla abbattono il tempo e le risorse necessari per lanciare attacchi complessi aumentandone significativamente il numero.
-
Miglioramento della Qualità degli Attacchi: La capacità dei LLM di generare contenuti realistici e personalizzati fa si che la rilevazione e l’intercettazione degli attacchi stessi sia sempre più difficile. I sistemi di difesa tradizionali, basati su pattern e firme, spesso falliscono di fronte a queste minacce avanzate.
-
Riduzione della Barriera di Ingresso per il Cybercrime: I Malla permettono la democratizzazione del cybercrime. Cosa significa? Significa che anche criminali con competenze tecniche limitate sono in grado di lanciare attacchi sofisticati con la conseguenza di un aumento nel numero di potenziali criminali.
-
Impatto Economico e Reputazionale: Gli attacchi resi più “semplici” dall’utilizzo dei Malla possono causare danni economici significativi alle aziende con un conseguente danno di reputazione che può comportare la sfiducia da parte dei loro clienti.
Per contrastare i Malla è necessario avere un approccio avanzato e multi layer quale:
-
Sviluppo di AI Difensiva. È necessario, in primis, combattere ad armi pari e, dunque, bisogna sviluppare sistemi di intelligenza artificiale che siano in grado di rilevare e bloccare gli attacchi generati da questi servizi. L’AI utilizzata in ambito di difesa è in grado di analizzare modelli comportamentali, anomalie nel traffico di rete e altri indicatori di compromissione (IoC) in tempo reale, così da potere rispondere immediatamente alle minacce. Un esempio è quello relativo all’utilizzo di piattaforme AI che siano in grado di identificare tentativi di phishing generati da Malla attraverso l’analisi linguistica delle email. Il concetto è quello di avere un sistema in grado di apprendere continuamente stante la velocità evolutiva delle tecniche di attacco. In questo modo si alimenta la loro capacità di rilevamento, riducendo il rischio di compromissioni.
-
Educazione degli Utenti e Consapevolezza. Un’altra strategia che è da sempre oggetto ritenuto chiave nell’ambito della prevenzione è l’educazione degli utenti. Rendere gli utenti consapevoli delle nuove metodologie di attacco è la base per poterli mettere nella condizione di riconoscere i segnali di pericolo e adottare comportamenti sicuri. Da questo punto di vista, è importante che le aziende definiscano e propongano programmi di formazione continua per i loro dipendenti, con simulazioni di attacchi di phishing e altre esercitazioni pratiche
-
Collaborazione Internazionale. Oggi, chi ha il potere tecnologico avrà anche quello politico e, dunque, dal momento che il cybercrime è un fenomeno global, ha una portata globale, si richiede una cooperazione internazionale per monitorare, identificare e smantellare i Malla.
Ad esempio, le operazioni condotte congiuntamente da Europol e aziende di cybersecurity hanno portato al sequestro di server utilizzati per operare servizi Malla, smantellando reti criminali e arrestando i responsabili. -
Sviluppo di normative e regolamenti. È altrettanto importante che l’utilizzo degli LLM venga normato al fine di evitare che possano essere utilizzati per scopi malevoli. Sarebbe utile introdurre normative per regolamentare l’uso e lo sviluppo dei modelli linguistici avanzati.
L’onda tecnologica non si può fermare e troppo spesso viene utilizzata in modo scorretto. Possiamo già prevedere che i Malla diventeranno sempre più sofisticati e diffusi. La capacità dei Malla di creare attacchi informatici sempre più difficili da rilevare crescerà in modo esponenziale con la crescita e lo sviluppo dei modelli linguistici di nuova generazione, come GPT-4. È altresì vero, però che, resi consapevoli che questo nuovo fenomeno esiste ed è in continua crescita, lo si può mitigare e ridurre solo attraverso investimenti nelle nuove tecnologie di difesa, nell’educazione degli utenti e nella collaborazione internazionale.
Riferimenti
https://arxiv.org/pdf/2401.03315
https://www.darkweb-guide.com/malla-demystifying-llm-integrated-malicious-services/