Un team di ricercatori dell’Università della California, San Diego, e dell’Università dell’Illinois ha scoperto che è anche possibile nascondere il malware nelle reti neurali di apprendimento profondo (Deep Learning) e consegnarlo a un obiettivo ignaro senza che venga rilevato dal software anti-malware convenzionale.

Non sorprende che questo nuovo lavoro stia evidenziando la necessità di migliori misure di sicurezza informatica per contrastare e proteggere gli utenti dalla possibilità molto reale di attacchi che sfruttano l’AI, soprattutto perché gli individui e le imprese diventano sempre più dipendenti dall’Intelligenza Artificiale nelle loro attività quotidiane.

In un documento pre-print che delinea EvilModel, il team ha scoperto che è possibile infettare un modello di Deep Learning con malware e nasconderlo dai rilevatori anti-malware, il tutto senza influenzare significativamente le prestazioni del modello.

Per ottenere questo, il team ha utilizzato un approccio noto come steganografia, dove pezzi di dati in un sistema vengono scambiati con altri bit di dati che potrebbero avere un messaggio o una funzione nascosta.

Per nascondere il loro campione di malware, il team ha iniziato frammentando il malware in pezzi più piccoli in modo che ogni pezzo misurasse solo 3 byte:- una dimensione abbastanza insignificante per eludere il rilevamento.

Il rilevamento di queste parti alterate del modello è stato reso ancora più difficile perché i modelli di deep learning AI sono costruiti utilizzando più strati di neuroni artificiali, che a loro volta possono essere composti da milioni di parametri che si interconnettono tra gli strati. Generalmente, i principali framework di deep learning come PyTorch e TensorFlow utilizzano numeri in virgola mobile a 4 byte per memorizzare i valori dei parametri. Come il team ha scoperto, è stato possibile sostituire 3 byte di un parametro con un pezzo di codice malware, in modo che il payload dannoso possa essere incorporato senza influenzare significativamente le prestazioni del modello.

“Quando i neuroni sono sostituiti da byte di malware, la struttura del modello rimane invariata”, ha osservato il team. “Poiché il malware viene smontato nei neuroni, le sue caratteristiche non sono più disponibili, il che può eludere il rilevamento da parte dei comuni motori anti-virus. Poiché il modello di rete neurale è robusto ai cambiamenti, non c’è una perdita significativa di prestazioni”.

Gli esperimenti del team hanno dimostrato che è stato possibile nascondere almeno 36,9 megabyte di malware nel loro modello di apprendimento profondo, con solo un calo dell’1% di precisione.

Per lo studio, il team ha testato il loro metodo su una serie di CNN popolari, tra cui AlexNet, VGG, Resnet, Inception e Mobilenet. Le CNN sono ideali per la consegna occulta di malware, in quanto comprendono molti tipi diversi di strati, così come milioni di parametri. Inoltre, molte CNN sono pre-addestrate e questo significa che alcuni utenti possono scaricarle senza sapere esattamente cosa può essere incorporato nel modello.

“Infatti, abbiamo scoperto che a causa dei neuroni ridondanti negli strati della rete, i cambiamenti in alcuni neuroni hanno poco impatto sulle prestazioni della rete neurale“, ha spiegato il team. “Inoltre, con la struttura del modello invariata, il malware nascosto può eludere il rilevamento dei motori antivirus. Pertanto, il malware può essere incorporato e consegnato ai dispositivi di destinazione in modo nascosto ed evasivo modificando i neuroni“.

Mentre questo scenario è abbastanza allarmante, il team sottolinea che gli aggressori possono anche scegliere di pubblicare una rete neurale infetta su repository pubblici online come GitHub, dove può essere scaricata su larga scala. Inoltre, gli aggressori possono anche implementare una forma più sofisticata di consegna attraverso quello che è noto come un attacco alla catena di approvvigionamento, o catena del valore o attacco di terze parti. Questo metodo prevede che i modelli incorporati nel malware si presentino come aggiornamenti automatici, che vengono poi scaricati e installati sui dispositivi di destinazione: sarebbe questo metodo di attacco che è stato dietro la massiccia violazione dei dati del governo degli Stati Uniti nel 2020.

Il team nota, tuttavia, che è possibile distruggere il malware incorporato riqualificando e mettendo a punto i modelli dopo che sono stati scaricati, a condizione che gli strati della rete neurale infetta non siano “congelati“, il che significa che i parametri in questi strati congelati non vengono aggiornati durante il prossimo “giro” di messa a punto, lasciando il malware incorporato intatto.

“Per i professionisti, i parametri dei neuroni possono essere cambiati attraverso il fine-tuning, il pruning, la compressione del modello o altre operazioni, rompendo così la struttura del malware e impedendo al malware di recuperare normalmente“, ha detto il team.

Inoltre, un altro modo possibile per garantire l’integrità dei modelli di deep learning è quello di scaricarli solo da fonti attendibili, così come implementare sistemi migliori per verificare gli aggiornamenti per evitare attacchi alla catena di approvvigionamento. In definitiva, il team sottolinea che c’è un crescente bisogno di maggiore sicurezza e migliori pratiche intorno alla pipeline di sviluppo del machine learning.

“Questo documento dimostra che le reti neurali possono essere utilizzate anche in modo malevolo. Con la popolarità dell’IA, gli attacchi assistiti dall’IA emergeranno e porteranno nuove sfide per la sicurezza informatica. L’attacco e la difesa della rete sono interdipendenti. Crediamo che le contromisure contro gli attacchi AI-assistiti saranno applicate in futuro, quindi speriamo che lo scenario proposto contribuisca ai futuri sforzi di protezione.”