Атака на ИИ-шлюз, связанный с Amazon Bedrock, вскрыла новую угрозу облачной безопасности

кибербезопасность облако Aws Bedrock ии-шлюзы майнинг csoonline.com

<p>Взлом облака, завершившийся развёртыванием криптомайнинга, выявил риск для предприятий: AI-шлюзы, концентрирующие доступ к облачным идентификаторам, разрешениям и базовым моделям в одной привилегированной системе. Исследователи Darktrace зафиксировали компрометацию EC2, который выступал прокси LiteLLM для Amazon Bedrock, с майнингом XMRig.</p>

Уязвимость в облаке, завершившаяся развёртыванием вредоносного ПО для майнинга криптовалют, выявила больший риск для предприятий: AI-шлюзы, которые концентрируют доступ к облачным идентификаторам, разрешениям и базовым моделям в единой, высокопривилегированной системе.

Исследователи кибербезопасности Darktrace обнаружили, что злоумышленники взяли под контроль экземпляр AWS EC2, выступавший как прокси LiteLLM для Amazon Bedrock, и в итоге развернули вредоносное ПО для майнинга XMRig, а также предприняли попытки злоупотреблять облачными идентификациями и сервисами AI.

Хотя атака завершилась майнингом, исследователи отмечают, что более тревожным является то, что AI-шлюзы централизуют доступ к моделям, идентификаторам и облачным привилегиям, делая их ценными целями.

Эксперты нашли атаку знакомой и согласующейся с прошлых облачных техникой атак.

«Если снять ИИ-брендирование, это — паттерн облачного вторжения, который мы наблюдаем по крайней мере с 2018 года: SSH открыт в интернет, попытки подбора паролей, обычный XMRig майнер и повторные подключения к майнинг-пулу», — сказал Сиан Мэлон, CISO компании BeyondTrust. «Даже ИИ-специфический угол зрения, попытки проверить украденные учётные данные на доступ к моделям Bedrock, имеет название с 2024 года: LLMjacking

Однако Мэлон согласился с исследователями Darktrace относительно потенциального радиуса взрыва. «AI-шлюзы концентрируют учётные данные, облачные разрешения и доступ к моделям в одну точку отказоустойчивости, поэтому обычная интрюция попадает на привилегированный актив», — пояснил он.

Атака следовала известному образцу

По данным Darktrace, скомпрометированный экземпляр EC2, по-видимому, поддерживал активность LiteLLM и был связан с ролью IAM, обладавшей доступом к ресурсам Amazon Bedrock. Хотя исследователи не смогли однозначно определить исходный вектор доступа, они заявили, что атака шла по цепочке, обычно наблюдаемой в облачных вторжениях.

До развёртывания майнера экземпляр был доступен по SSH в Интернет, порт 22 был доступен отовсюду. Darktrace зафиксировала большой объём входящих SSH-подключений, в основном исходивших с одного внешнего IP-адреса, что указывало на вероятность brute-force.

Вскоре после этого хост загрузил ZIP-архив, содержащий вредоносное ПО для майнинга XMRig, после чего повторно подключался к известному майнинг-пулу через HTTPS.

Darktrace подчёркивала, что не может подтвердить, что активность SSH напрямую привела к компрометации, так как журналы на уровне хоста недоступны. Однако временная синхронность экспонирования SSH, загрузки майнера и последующих коммуникаций с майнинг-пулом настойчиво свидетельствовала о том, что EC2 был взломан и перепрофилирован под несанкционированную вычислительную активность.

Компрометированные AI-шлюзы — серьёзное дело

Раскрытие также описывало подозрительную активность IAM, зафиксированную отдельно другой идентичностью AWS на следующий день. Среди необычных действий — вызов API GetSendQuota с IP из Вьетнама, попытки перечислить и вызвать базовые модели Amazon Bedrock и попытка создать нового пользователя IAM с случайно сгенерированным именем.

Такое поведение обычно связано с созданием устойчивости после компрометации учётных данных. Однако Darktrace не смогла напрямую связать активность IAM с инцидентом LiteLLM.

Джейсон Сороко, старший сотрудник Sectigo, отметил, что значение инцидента меньше в отношении криптомайнера, чем к системе, которая была взломана.

«Эти шлюзы становятся брокерами по идентификации, доступу к моделям, подсказкам, журналам и политике, — отметил он. «Когда один из шлюзов открыт по SSH или поддерживается широкими IAM-разрешениями, это уже не просто ещё один экземпляр EC2. Это узел управления операциями ИИ.»

Чтобы защититься от таких атак, добавил Сороко, команды безопасности должны закрывать общедоступные административные пути, по возможности удалять долгосрочные ключи, ограничивать IAM-разрешения, отслеживать шаблоны доступа Bedrock и моделей, и сопоставлять телеметрию рабочих нагрузок с событиями контрольной плоскости.

Darktrace заявила, что помогла своевременно локализовать атаку. «Криптомайнинговая активность была получена сервисом Managed Threat Detection Darktrace и рассмотрена SOC Darktrace», — говорится в блоге, опубликованном CSO до его публикацией в четверг. «После рассмотрения активность была передана заказчику. Эта эскалация обеспечила заказчику своевременное уведомление об активном злоупотреблении ресурсами в окружении AWS».

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: