Это не совсем полная картина. В интервью в понедельник изданию CyberScoop Майкл Кларк из Sysdig, старший директор компании по исследованию угроз, уточнил, что человек все еще был вовлечен в процесс — просто не в техническом исполнении. «Человек все еще настраивал и направлял операцию, предоставлял инфраструктуру, стоящую за ней, сервер командного управления, промежуточный сервер, используемый для украденных данных, и выбирал жертву», — сказал Кларк. Он добавил, что учетные данные, использованные для взлома базы данных жертвы, не были получены самим AI-агентом; кто-то получил их отдельно, в результате предыдущего компрометации, и передал этой операции.
Ничто из этого не противоречит первоначальному заявлению Sysdig, и технические детали атаки сами по себе остаются примечательными — даже дикими. Агент проник внутрь через известную уязвимость в Langflow, популярном инструменте с открытым исходным кодом для создания LLM-приложений, затем перешел к производственному серверу MySQL и использовал другую известную уязвимость для получения прав администратора. Он зашифровал более 1300 конфигурационных записей и не только оставил записку с требованием выкупа, которую написал сам, но и указал биткоин-адрес для отправки выкупа. Sysdig не раскрыла, кто был целью.
Похоже, методы были довольно обычными, но выделялись скорость и прозрачность процесса. Агент устранил сбой входа в систему за 31 секунду, комментируя свои собственные рассуждения в виде комментариев к коду на естественном языке на протяжении всего процесса.
Одна деталь, которая изначально, казалось, запутывала картину, с тех пор была прояснена. Кларк сообщил CyberScoop, что Sysdig обнаружила, что «в атаке использовалось несколько моделей», ссылаясь на извлеченные ключи для OpenAI, Anthropic, DeepSeek и Gemini — формулировка, которая оставляла открытым вопрос о том, действительно ли несколько моделей активно питали разные этапы вторжения. Когда его попросили прояснить, Кларк сообщил TechCrunch, что эти ключи были просто частью того, что агент украл, а не свидетельством того, что им управляло.
«Агент просканировал хост Langflow на наличие чего-либо ценного — ключей API провайдеров, облачных учетных данных, криптовалютных кошельков и конфигураций баз данных — и эти ключи провайдеров были частью добычи», — сказал он по электронной почте. «Они указывают на то, что злоумышленник счел ценным забрать, но они не говорят нам, какая модель принимала решения».
Относительно модели, фактически управлявшей JadePuffer, Кларк заявил, что Sysdig «не смогла идентифицировать конкретную модель, управлявшую агентом», и не имеет представления о его системном промпте или конфигурации.
Теория исследователя Microsoft Джеффа Макдональда, высказанная в LinkedIn несколько дней назад, стоит того, чтобы ее пересмотреть в этом свете. Макдональд подозревал, что за атакой стоит модель с открытым весом и удаленным обучением безопасности, а не передовая модель, основываясь на своем собственном опыте red-teaming, который показывает, что уровни безопасности передовых лабораторий хорошо держатся. Отчет Sysdig не подтверждает и не опровергает это.
В посте Макдональда также содержалось предупреждение о том, что кампании по распространению программ-вымогателей теперь ограничены в основном бюджетом злоумышленника, а не человеческими усилиями, что поднимает вероятность «тысяч или десятков тысяч одновременных кампаний». Эту обеспокоенность немного сложнее согласовать с тем, что Кларк описал в понедельник. (Если человеку все еще приходится выбирать каждую жертву, предоставлять инфраструктуру и получать учетные данные базы данных для каждой операции, это, по крайней мере, некоторое узкое место.)
В любом случае, Кларк сообщил CyberScoop, что, хотя Sysdig еще не видела, чтобы та же самая операция затронула других жертв, учитывая, насколько дешево запускать агента, он ожидает, что ситуация изменится.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connie Loizos




