Le previsioni dell’intelligence britannica sulla minaccia cyber ai tempi dell’AI

Lo scorso novembre si è tenuto nel Regno Unito il primo Bletchley AI Safety Summit, al quale hanno partecipato i rappresentanti di USA, Unione Europea, diversi Paesi europei, fra cui l’Italia, e poi Emirati Arabi, Svizzera, India, Arabia, Repubblica di Corea, Brasile, Australia e Giappone. Nella dichiarazione finale del Summit si sottolinea l’importanza di garantire che l’intelligenza artificiale sia progettata, sviluppata, implementata e utilizzata in modalità sicura, incentrato sull’uomo, affidabile e responsabile, a beneficio di tutti. Il Summit si è dato quindi un’agenda che ha l’obiettivo di favorire la costruzione di politiche basate sull’identificazione e la valutazione del rischio relativo ad usi pericolosi di questa nuova tecnologia.

In tale prospettiva si inserisce un’analisi previsionale del National Cyber Security Center (NCSC) britannico relativa alle conseguenze dell’AI sulla minaccia cyber a partire dai prossimi due anni.

Il NCSC spiega che tutti i tipi di avversari – statali e non statali, qualificati e meno qualificati – stanno già utilizzando l’intelligenza artificiale a vari livelli. Gli ambiti di effettiva e potenziale adozione dell’AI in campo cyber sono molteplici e vanno dagli attacchi ransomware, alle frodi BEC, dalla codifica di nuovi malware, alla realizzazione di exploit per le vulnerabilità.

Alcuni possibili impatti sono già stati descritti dall’Europol, nell’analisi del 2023 “ChatGPT – The impact of Large Language Models on Law Enforcement, a Tech Watch Flash Report from the Europol Innovation Lab”. Il report del NCSC “The near-term impact of AI on the cyber threat”, rilasciato quest’anno, conferma quei contenuti e li approfondisce.

In prospettiva, sono soprattutto due gli aspetti da considerare. Da un lato, l’AI ridurrà progressivamente le barriere che impediscono ai criminali informatici alle prime armi, ai gruppi hack-for-hire e agli hacktivisti di effettuare sofisticate operazioni di accesso e raccolta di informazioni. Dall’altro, quasi certamente renderà tutti gli attacchi informatici più incisivi, perché consentirà la realizzazione di strumenti di social engineering e tool di attacco più efficaci. Inoltre, aumenterà la velocità e la qualità dell’analisi dei dati esfiltrati. L’evoluzione di tale attività, come in una sorta di circolo virtuoso, metterà a disposizione degli avversari set di dati più ampi e di migliore qualità che potranno essere utilizzati per addestrare sempre meglio i loro modelli generativi.

Tuttavia, spiegano gli analisti del NCSC, gli effetti non saranno uniformi. A livello temporale, si prevede una certa di gradualità. Si stima improbabile che gli utilizzi più avanzati vengano realizzati prima del 2025, limite intorno al quale si prevede una significativa immissione delle risorse basate sull’intelligenza artificiale nelle community underground. Entro il 2025, si potrà registrare un miglioramento e un’evoluzione delle tecniche, tattiche e procedure esistenti e poi, successivamente, verranno incrementati volume e impatto degli attacchi.

Chi ne potrebbe beneficiare maggiormente nell’immediato sono gli operatori ransomware. Nel medio termine, è molto probabile che gli usi più sofisticati saranno limitati a realtà state-sponsored, con accesso a dati di formazione di qualità, dotati di competenze significative e di risorse adeguate.

Intanto, sono già stati rilevati casi concreti di sfruttamento dell’intelligenza artificiale da parte di avversari di diversa matrice.

Il deep fake è una tecnica utilizzata con sempre maggiore frequenza dalle InfoOps. Fra le più recenti e significative, le campagne che hanno cercato di influenzare le elezioni a Taiwan e in Finlandia.

Inoltre, sono già stati messi in vendita in community underground tool malevoli basati sull’AI, come Fraud-GPT e Business Invoice Swapper. Il primo, in circolazione almeno dall’anno scorso, è un malware As-a-Service che sarebbe capace di scrivere codice e fare attività di ricerca delle vulnerabilità. Business Invoice Swapper, realizzato da un avversario che si firma GXC Team, è stato progettato per semplificare le frodi BEC. Grazie all’impiego di algoritmi proprietari, il tool analizza il contenuto di account e-mail compromessi, seleziona al loro interno i messaggi che citano fatture o che hanno allegati con dettagli di pagamento e ne manipola dati e coordinate, in modo da indirizzare il denaro su conti controllati dagli attaccanti.

Focus Onè una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.