Un atacator care a folosit cod generat de AI a pătruns prin mediul cloud Amazon Web Services al unei companii în mai puțin de opt minute, escaladând de la credențiale de test furate la control administrativ complet înainte ca apărătorii să poată reacționa, conform unui nou studiu publicat de Echipa de Cercetare a Amenințărilor Sysdig duminică.
Atacul a început când atacatorii cibernetici au descoperit credențiale valide într-un bucket de stocare S3 accesibil public care conținea date folosite pentru antrenarea modelelor AI. În câteva minute, au enumerat resurse pe mai multe servicii AWS, au injectat cod malicios într-o funcție Lambda pentru a escalada privilegiile, au creat un cont administrator backdoor și au lansat resurse de calcul GPU costisitoare.
Viteza compromiterii asistate de AI
Cercetătorii Sysdig au documentat o secvență de atac de două ore, dar calea către privilegii administrative a durat doar opt minute de la accesul inițial. Atacatorii au compromis 19 principali AWS unici, inclusiv preluarea a șase roluri IAM diferite pe parcursul a 14 sesiuni și preluarea controlului asupra a cinci utilizatori IAM prin crearea unor noi chei de acces.
„Acest atac se remarcă prin viteză, eficiență și indicatori puternici de execuție asistată de AI”, au scris cercetătorii Sysdig. Aceștia au menționat că atacul ar fi fost imposibil pentru un om care lucrează singur.
Codul generat de LLM conținea semne revelatoare ale implicării AI, inclusiv comentarii scrise în sârbă, referințe la un repository GitHub halucinat la „github.com/anthropic/training-scripts.git” care nu există, și ID-uri de cont AWS fabricate. Cercetătorii au atribuit aceste anomalii halucinațiilor tipice ale modelelor AI.
Deturnarea LLM-urilor și abuzul de resurse GPU
După obținerea accesului administrativ, atacatorii au confirmat că înregistrarea invocărilor de modele Amazon Bedrock era dezactivată, apoi au început să invoce multiple modele fundamentale într-un pattern consistent cu “LLMjacking”, o tehnică prin care actorii de amenințare deturnează accesul la modele AI scumpe bazate pe cloud. Astfel de atacuri pot genera costuri ce depășesc 46.000 de dolari pe zi pentru victime.
Operațiunea a escaldat apoi către abuzul de resurse de calcul. După configurarea grupurilor de securitate pentru a permite accesul public, atacatorii au încercat să lanseze instanțe GPU de ultimă generație pentru sarcini de machine learning. Deși cele mai puternice instanțe au eșuat din cauza limitărilor de capacitate, aceștia au reușit să lanseze o instanță GPU costisitoare și au implementat scripturi pentru a instala CUDA, framework-uri de antrenament și un server JupyterLab accesibil public pe portul 8888.
„Serverul JupyterLab ar oferi o ușă din dos către instanță independent de credențialele AWS”, au notat cercetătorii Sysdig. Atacatorii au terminat instanța după cinci minute, deși intenția lor finală a rămas neclară.
Implicații pentru securitatea cloud
Incidentul reflectă o tendință mai amplă în care atacatorii folosesc automatizarea și inteligența artificială pentru a descoperi configurații greșite și pentru a cartografia căile de permisiuni mai rapid decât pot răspunde apărătorii umani. Conform unui sondaj recent, 66% dintre organizații nu au încredere puternică în capacitatea lor de a detecta și răspunde la amenințările cloud în timp real.
Sysdig a recomandat organizațiilor să activeze înregistrarea invocărilor modelelor pentru Amazon Bedrock, să monitorizeze enumerarea IAM Access Analyzer și să limiteze permisiunile pentru acreditările de testare care pot fi expuse în mediile de dezvoltare.
„Problema centrală nu mai este reprezentată de configurări greșite sau patch-uri lipsă”, a remarcat un analist de securitate. „Vor fi miliardele de identități de mașină nevăzute, cu permisiuni excesive, pe care atacatorii—sau AI agențial autonom—le vor exploata pentru mișcări laterale silențioase și nedetectabile”.
Surse:
https://www.sysdig.com/blog/ai-assisted-cloud-intrusion-achieves-admin-access-in-8-minutes
https://mitigant.io/en/blog/demystifying-amazon-bedrock-llmjacking-attacks