Специалисты компании Sysdig, занимающейся кибербезопасностью, обнаружили атаку, в ходе которой злоумышленники смогли полностью скомпрометировать среду AWS менее чем за восемь минут. По данным экспертов по угрозам, киберпреступники использовали облачную конфигурационную ошибку с помощью больших языковых моделей (LLM), чтобы сократить весь цикл атаки с часов до нескольких минут.
«Защита от подобных атак требует технологий, ориентированных на ИИ, способных делать выводы и реагировать на автоматизированные атаки с необходимой скоростью», — считает Рам Варадараджан, генеральный директор платформенного провайдера Acalvio.
От публичного бакета к повышению привилегий
Первоначально, по словам исследователей безопасности, киберпреступники получили доступ, используя действительные учетные данные AWS, ранее раскрытые в общедоступных S3-бакетах. Они также содержали данные, связанные с ИИ, такие как разрешения на взаимодействие с Lambda и ограниченный доступ к Amazon Bedrock.
«Этот пользователь, вероятно, был создан с целью автоматизации задач Bedrock с помощью функций Lambda во всей среде», — поясняют исследователи Sysdig.
Имея права на чтение всей среды, злоумышленники также легко смогли получить представление обо всех доступных сервисах AWS и расширить свои разрешения, модифицировав существующую функцию Lambda.
Как показывает анализ исследователей безопасности, код Lambda имеет признаки, указывающие на его генерацию с помощью LLM, включая комплексную обработку исключений, итеративную логику таргетинга и комментарии не на английском языке.
Боковое перемещение, LLMjacking и злоупотребление GPU
Получив административный доступ, злоумышленники перемещались по 19 различным сущностям AWS и создавали новые учетные записи пользователей, чтобы распределить свою активность между разными идентификаторами. Этот подход обеспечил злоумышленникам устойчивость и одновременно затруднил обнаружение, как отмечают исследователи в своем отчете.
Затем хакеры переключили свое внимание на Amazon Bedrock, определили доступные модели и отключили ведение журнала вызовов моделей. По словам исследователей, затем были вызваны несколько базовых моделей по схеме «LLMjacking». Кроме того, код частично ссылался на несуществующие репозитории и ресурсы, что Sysdig объясняет галлюцинациями LLM.
Затем злоумышленники также злоупотребили ресурсами. В частности, они пытались запустить высокопроизводительные GPU-инстансы для задач машинного обучения. Хотя это не удалось для большинства инстансов из-за ограничений по мощности, киберпреступники смогли запустить особенно дорогостоящий GPU-инстанс, включая скрипты для установки CUDA, предоставления фреймворков для обучения и открытия публичного интерфейса JupyterLab.
По мнению экспертов, самое тревожное в этой атаке не то, что ИИ позволил использовать новую технику атаки.
«Если свести эту атаку к сути, то прорыв заключается не в технике», — подчеркивает Шейн Барни, CISO в Keeper Security. «Решающим фактором является низкая устойчивость среды, как только злоумышленник получил законный доступ». Эксперт по безопасности предупреждает, что ИИ сжимает разведку, тестирование привилегий и боковое перемещение по сети в особенно быстрой последовательности. Таким образом, устраняется буферное время, на которое традиционно полагались защитники.
Чтобы снизить риск подобных атак, исследователи Sysdig рекомендуют последовательно применять принцип наименьших привилегий ко всем ролям пользователей IAM и ролям выполнения Lambda. Кроме того, конфиденциальные S3-бакеты никогда не должны быть общедоступными, предупреждает Sysdig.
Эксперты по исследованиям также настоятельно рекомендуют компаниям:
- использовать версионирование Lambda,
- включить ведение журнала вызовов моделей в Bedrock и
- критически проверять подозрительную, крупномасштабную активность по перечислению.
(jm/fm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
