OpenAI는 금요일에 이란의 비밀 영향력 행사 작전과 관련된 일련의 계정을 금지했다고 밝혔습니다. 이 작전은 ChatGPT를 활용해 콘텐츠를 생성했는데, 그 콘텐츠의 내용은 특히 다가올 미국 대선에 초점을 맞추었습니다.
OpenAI는 “이번 주에 우리는 Storm-2035로 명명된 이란의 비밀 영향력 작전을 위한 콘텐츠를 생성하는 ChatGPT 계정 클러스터를 식별하여 삭제했습니다.”라고 밝혔습니다.
“이 작전은 ChatGPT를 사용하여 미국 대선에서 양측 후보자에 대한 논평을 포함한 다양한 주제에 초점을 맞춘 콘텐츠를 생성한 다음 소셜 미디어 계정과 웹사이트를 통해 공유했습니다.”
이 인공지능(AI) 회사는 콘텐츠가 의미 있는 참여를 달성하지 못했으며, 대부분의 소셜 미디어 게시물이 좋아요, 공유, 댓글을 거의 받지 못했다고 밝혔습니다. 또한 ChatGPT를 사용하여 만든 장문 기사가 소셜 미디어 플랫폼에서 공유되었다는 증거는 거의 발견되지 않았다고 덧붙였습니다.
해당 기사는 미국 정치와 세계적 사건에 초점을 두고, 진보적, 보수적 뉴스 매체로 가장한 다섯 개의 웹사이트에 게재되었는데, 이는 정치적 스펙트럼의 반대편에 있는 사람들을 표적으로 삼으려는 시도였다.
OpenAI는 자사의 ChatGPT 도구를 사용하여 영어와 스페인어로 댓글을 작성했으며, 이후 X의 12개 계정과 Instagram의 1개 계정에 게시되었다고 밝혔습니다. 이러한 댓글 중 일부는 다른 소셜 미디어 사용자가 게시한 댓글을 다시 쓰도록 AI 모델에 요청하여 생성되었습니다.
OpenAI는 “이 작전은 여러 주제에 대한 콘텐츠를 생성했습니다. 주로 가자 지구 갈등, 이스라엘의 올림픽 참가, 미국 대선에 대한 콘텐츠가 생성되었고, 베네수엘라 정치, 미국 내 라틴계 커뮤니티의 권리(스페인어와 영어 모두), 스코틀랜드 독립에 대한 콘텐츠도 생성되었습니다.”라고 밝혔습니다.
“그들은 정치적 내용에 패션과 뷰티에 대한 코멘트를 섞어서 더 진짜처럼 보이거나 팔로워를 늘리려는 시도를 했을 수도 있습니다.”
Storm-2035는 또한 지난주 Microsoft에서 강조한 위협 활동 클러스터 중 하나였으며, Microsoft는 이를 “미국 대선 후보, LGBTQ 권리, 이스라엘-하마스 갈등과 같은 문제에 대해 양극화된 메시지를 통해 정치적 스펙트럼의 반대편에 있는 미국 유권자 그룹과 적극적으로 교류하는” 이란 네트워크라고 설명했습니다.
이 그룹이 만든 가짜 뉴스 및 논평 사이트로는 EvenPolitics, Nio Thinker, Savannah Time, Teorator, Westland Sun 등이 있습니다. 이 사이트는 또한 AI 기반 서비스를 활용하여 미국 출판물에서 일부 콘텐츠를 표절하는 것으로 관찰되었습니다. 이 그룹은 2020년부터 운영될 것으로 알려졌습니다.
마이크로소프트는 지난 6개월 동안 이란과 러시아 네트워크에서 미국 선거를 표적으로 삼는 외국의 악의적 영향력 행사가 증가했다고 경고했습니다. 러시아 네트워크는 Ruza Flood(일명 Doppelganger), Storm-1516, Storm-1841(일명 Rybar)로 추적된 클러스터로 거슬러 올라갑니다.
프랑스 사이버 보안 회사 HarfangLab은 “도플갱어는 조작되거나 가짜이거나 심지어 합법적인 정보를 소셜 네트워크 전반에 퍼뜨리고 증폭시킨다”고 말했다. “이를 위해 소셜 네트워크 계정은 최종 콘텐츠 웹사이트로 이어지는 난독화된 리디렉션 체인을 시작하는 링크를 게시한다.”
그러나 메타에 따르면, 선전 네트워크는 공격적인 단속에 대응하여 전략을 바꾸고 있으며, 비정치적 게시물과 광고를 점점 더 많이 이용하고, Cosmopolitan, The New Yorker, Entertainment Weekly와 같은 비정치적, 엔터테인먼트 뉴스 매체를 패러디하여 감지를 피하려고 시도하고 있는 것으로 나타났습니다.
게시물에는 탭하면 사용자를 엔터테인먼트 또는 건강 간행물을 모방한 위조 도메인 중 하나의 러시아 전쟁 또는 지정학 관련 기사로 리디렉션하는 링크가 포함되어 있습니다. 광고는 손상된 계정을 사용하여 생성됩니다.
2017년 이후 자사 플랫폼 전반에서 러시아의 영향력 작전 39건, 이란의 영향력 작전 30건, 중국의 영향력 작전 11건을 방해한 소셜 미디어 회사는 2024년 2분기에 러시아(4), 베트남(1), 미국(1)의 새로운 네트워크 6개를 발견했다고 밝혔습니다.
“5월부터 Doppelganger는 도메인에 대한 링크 공유 시도를 재개했지만, 그 속도는 훨씬 낮았습니다.” Meta가 말했습니다. “또한 그들이 TinyURL의 링크 단축 서비스를 포함한 여러 리디렉션 홉을 실험하여 링크 뒤에 최종 목적지를 숨기고 Meta와 당사 사용자를 속여 감지를 피하고 사람들을 플랫폼 외부 웹사이트로 유도하는 것을 보았습니다.”
이러한 사건은 구글의 위협 분석 그룹(TAG)이 이번 주에 이스라엘과 미국의 유명 사용자의 개인 계정을 손상시키려는 이란이 지원하는 스피어 피싱 활동을 감지하고 차단했다고 밝힌 데 따른 것입니다. 여기에는 미국 대선 캠페인과 관련된 사용자도 포함됩니다.
이 활동은 이란의 이슬람 혁명 수비대(IRGC)와 제휴한 국가 지원 해킹 팀인 APT42라는 코드명의 위협 행위자에 기인한 것으로 알려졌습니다. Charming Kitten(일명 Mint Sandstorm)으로 알려진 또 다른 침입 세트와 중복되는 것으로 알려져 있습니다.
“APT42는 이메일 피싱 캠페인의 일환으로 다양한 전술을 사용합니다. 여기에는 맬웨어 호스팅, 피싱 페이지, 악성 리디렉션이 포함됩니다.”라고 이 기술 거대 기업은 말했습니다. “그들은 일반적으로 이러한 목적으로 Google(예: Sites, Drive, Gmail 등), Dropbox, OneDrive 등의 서비스를 남용하려고 합니다.”
광범위한 전략은 정교한 사회 공학 기술을 사용하여 대상자의 신뢰를 얻은 다음, 이메일을 끊고 Signal, Telegram, WhatsApp과 같은 인스턴트 메시징 채널로 이동하게 한 다음, 로그인 정보를 수집하도록 설계된 가짜 링크를 푸시하는 것입니다.
Google은 피싱 공격이 GCollection(일명 LCollection 또는 YCollection) 및 DWP와 같은 도구를 사용하여 Google, Hotmail 및 Yahoo 사용자의 자격 증명을 수집하는 것이 특징이라고 언급하면서 APT42가 “타겟으로 삼은 이메일 공급업체에 대한 강력한 이해”를 가지고 있다고 강조했습니다.
“APT42가 계정에 액세스하면 복구 이메일 주소를 변경하고 Gmail의 애플리케이션별 비밀번호 및 Yahoo의 타사 앱 비밀번호와 같이 다중 요소 인증을 지원하지 않는 애플리케이션을 허용하는 기능을 사용하는 등 추가적인 액세스 메커니즘을 추가하는 경우가 많습니다.”라고 덧붙였습니다.