Мошенники захватывают и перепродают инфраструктуру для работы с AI: отчет по кибербезопасности

ии безопасность Llm Mcp угрозы взлом

Исследователи Pillar Security бьют тревогу: злоумышленники массово атакуют незащищенные корпоративные инфраструктуры больших языковых моделей (LLM) и MCP, перепродавая доступ к вычислительным ресурсам через криминальные маркетплейсы. Обнаружены две кампании, нацеленные на кражу доступа и переход во внутренние системы.

Годами руководители по безопасности (CSO) опасались, что их ИТ-инфраструктура будет использоваться для несанкционированного майнинга криптовалют. Теперь, по словам исследователей, им стоит начать беспокоиться о том, что злоумышленники угоняют и перепродают доступ к скомпрометированной корпоративной инфраструктуре искусственного интеллекта.

В отчете, опубликованном в среду, исследователи из Pillar Security сообщили об обнаружении масштабных кампаний, нацеленных на незащищенные конечные точки больших языковых моделей (LLM) и протокола Model Context Protocol (MCP) — например, на чат-ботов поддержки на базе ИИ на веб-сайтах.

«Я считаю, что это тревожно», — заявил соавтор отчета Ариэль Фогель. «То, что мы обнаружили, — это настоящая преступная сеть, где люди пытаются украсть ваши учетные данные, вашу возможность использовать LLM и ваши вычислительные мощности, а затем перепродать их».

«Это зависит от вашего приложения, но вам следует действовать довольно быстро, блокируя такого рода угрозы», — добавил соавтор Эйлон Коэн. «В конце концов, вы же не хотите, чтобы ваши дорогостоящие ресурсы использовались другими. Если вы развертываете что-то, имеющее доступ к критически важным активам, вам следует принять меры прямо сейчас».

Келман Мегу, технический директор канадской компании по реагированию на инциденты DeepCove Security, заявил, что эта кампания «приведет лишь к катастрофическим последствиям. Самое ужасное — это низкий порог технических знаний, необходимых для эксплуатации».

Насколько велики эти кампании? Только за последние пару недель ловушки (honeypots) исследователей зафиксировали 35 000 сессий атак, охотящихся за скомпрометированной инфраструктурой ИИ.

«Это не единичная атака», — добавил Фогель. «Это бизнес». Он сомневается, что за этим стоит государство; кампании, по-видимому, проводятся небольшой группой.

Цели: кража вычислительных ресурсов для выполнения несанкционированных запросов инференса LLM, перепродажа доступа к API со скидкой через криминальные маркетплейсы, эксфильтрация данных из контекстных окон LLM и истории диалогов, а также переход во внутренние системы через скомпрометированные серверы MCP.

Две кампании

На данный момент исследователи выявили две кампании: одна, получившая название Operation Bizarre Bazaar, нацелена на незащищенные LLM. Другая кампания нацелена на конечные точки Model Context Protocol (MCP).

Найти эти скомпрометированные конечные точки несложно. Злоумышленники, стоящие за кампаниями, используют знакомые инструменты: поисковые системы IP-адресов Shodan и Censys.

В зоне риска: организации, использующие локально размещенную инфраструктуру LLM (такую как Ollama, программное обеспечение, обрабатывающее запрос к модели LLM за приложением; vLLM, аналогичное Ollama, но для высокопроизводительных сред; и локальные реализации ИИ) или развертывающие серверы MCP для интеграции ИИ.

Цели включают:

  • скомпрометированные конечные точки на стандартных портах распространенных сервисов инференса LLM;
  • неаутентифицированный доступ к API без должного контроля доступа;
  • среды разработки/тестирования с общедоступными IP-адресами;
  • серверы MCP, подключающие LLM к файловым системам, базам данных и внутренним API.

Общие ошибки конфигурации, используемые этими злоумышленниками, включают:

  • Ollama, работающая на порту 11434 без аутентификации;
  • API, совместимые с OpenAI, на порту 8000, открытые для интернета;
  • серверы MCP, доступные без средств контроля доступа;
  • инфраструктура разработки/тестирования ИИ с публичными IP;
  • конечные точки чат-ботов (поддержка клиентов, боты продаж) без аутентификации или ограничения скорости.

Джордж Герчоу, директор по безопасности Bedrock Data, отметил, что Operation Bizarre Bazaar — это «явный признак того, что злоумышленники вышли за рамки случайного злоупотребления LLM и теперь рассматривают скомпрометированную инфраструктуру ИИ как поверхность для монетизации атак. Особенно беспокоит не только несанкционированное использование вычислительных мощностей, но и тот факт, что многие из этих конечных точек теперь привязаны к Model Context Protocol (MCP) — зарождающемуся открытому стандарту для безопасного подключения больших языковых моделей к источникам данных и инструментам. MCP мощный, поскольку он обеспечивает контекст в реальном времени и автономные действия, но без надежного контроля те же точки интеграции становятся векторами для перехода во внутренние системы».

По его словам, защитники должны относиться к сервисам ИИ с такой же строгостью, как к API или базам данных, начиная с аутентификации, телеметрии и моделирования угроз на ранних этапах цикла разработки. «Поскольку MCP становится основой для современных интеграций ИИ, обеспечение безопасности этих протокольных интерфейсов, а не только доступа к моделям, должно стать приоритетом», — сказал он.

В интервью авторы отчета Pillar Security Эйлон Коэн и Ариэль Фогель не смогли оценить, сколько дохода могли получить злоумышленники на данный момент. Но они предупреждают, что руководителям по безопасности и лидерам информационной безопасности лучше действовать быстро, особенно если LLM получает доступ к критически важным данным.

В их отчете описаны три компонента кампании Bizarre Bazaar:

  • сканер: распределенная бот-инфраструктура, которая систематически сканирует интернет на предмет скомпрометированных конечных точек ИИ. Каждая открытая инсталляция Ollama, каждый неаутентифицированный сервер vLLM, каждая доступная конечная точка MCP каталогизируется. Как только конечная точка появляется в результатах сканирования, попытки эксплуатации начинаются в течение нескольких часов;
  • валидатор: после того как сканеры обнаруживают цели, инфраструктура, связанная с предполагаемым криминальным сайтом, проверяет конечные точки посредством тестирования API. Во время концентрированного операционного окна злоумышленник тестировал заполнители ключей API, перечислял возможности модели и оценивал качество ответа;
  • маркетплейс: доступ со скидкой к более чем 30 поставщикам LLM продается на сайте под названием The Unified LLM API Gateway. Он размещен на защищенной инфраструктуре в Нидерландах и рекламируется в Discord и Telegram.

Пока что, по словам исследователей, покупатели доступа — это люди, создающие собственную инфраструктуру ИИ и стремящиеся сэкономить, а также лица, вовлеченные в онлайн-игры.

Злоумышленники могут красть доступ к ИИ не только из полностью разработанных приложений, добавили исследователи. Разработчик, пытающийся создать прототип приложения, который по неосторожности не защищает сервер, также может стать жертвой кражи учетных данных.

Джозеф Стейнберг, эксперт по ИИ и кибербезопасности из США, заявил, что отчет является еще одним подтверждением того, как новые технологии, такие как искусственный интеллект, создают новые риски и потребность в новых решениях безопасности, выходящих за рамки традиционных ИТ-средств контроля.

CSO должны задать себе вопрос, обладает ли их организация необходимыми навыками для безопасного развертывания и защиты проекта ИИ, или же эту работу следует передать на аутсорсинг поставщику с необходимой экспертизой.

Смягчение последствий

Pillar Security рекомендует CSO, использующим LLM и серверы MCP, с доступом извне:

  • включить аутентификацию на всех конечных точках LLM. Требование аутентификации устраняет случайные атаки. Организации должны убедиться, что Ollama, vLLM и аналогичные сервисы требуют действительных учетных данных для всех запросов;
  • проверить доступность серверов MCP. Серверы MCP никогда не должны быть доступны напрямую из интернета. Проверьте правила брандмауэра, просмотрите группы безопасности облака, подтвердите требования к аутентификации;
  • блокировать известную вредоносную инфраструктуру. Добавьте подсеть 204.76.203.0/24 в списки запретов. Для кампании по разведке MCP заблокируйте диапазоны AS135377;
  • внедрить ограничение скорости (rate limiting). Остановите попытки эксплуатации с высокой интенсивностью. Разверните правила WAF/CDN для шаблонов трафика, специфичных для ИИ;
  • проверить доступность производственных чат-ботов. Каждый чат-бот для клиентов, помощник по продажам и внутренний агент ИИ должен применять меры безопасности для предотвращения злоупотреблений.

Не сдавайтесь

Несмотря на количество новостей за последний год об уязвимостях ИИ, Мегу заявил, что ответ не в том, чтобы отказаться от ИИ, а в том, чтобы строго контролировать его использование. «Не просто запрещайте его, а выведите его на свет и помогите пользователям понять риск, а также работайте над способами безопасного использования ИИ/LLM, которое приносит пользу бизнесу», — посоветовал он.

«Вероятно, пришло время провести специальное обучение по использованию и рискам ИИ», — добавил он. «Убедитесь, что вы собираете отзывы от пользователей о том, как они хотят взаимодействовать со службой ИИ, и что вы поддерживаете это и опережаете их. Простое запрещение толкает пользователей в теневую ИТ-сферу, а последствия этого слишком пугающи, чтобы рисковать тем, что люди будут скрывать это. Примите это и сделайте частью ваших коммуникаций и планирования с сотрудниками».

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: