Auf den Punkt: AI-Gateways als zentrale Zugriffspunkte auf Cloud-Identitäten und Modelle werden zur bevorzugten Zielscheibe, da ein erfolgreicher Angriff sofort auf privilegierte Systeme zugreift.
Forscher von Darktrace haben einen Angriff dokumentiert, bei dem Kriminelle eine AWS EC2-Instanz mit LiteLLM-Proxy für Amazon Bedrock kompromittierten und XMRig-Kryptomining-Malware installierten. Der Incident verdeutlicht ein systematischeres Problem: AI-Gateways konzentrieren Identitäten, Cloud-Berechtigungen und Modelzugriffe in einem hochprivilegierten System.
Der Angriff folgte einer bekannten Cloud-Intrusionsmethode: Die EC2-Instanz hatte SSH auf Port 22 öffentlich exponiert. Darktrace beobachtete ein hohes Volumen eingehender SSH-Verbindungsversuche, größtenteils von einer einzelnen externen IP-Adresse stammend, was auf Brute-Force-Aktivität hindeutet. Anschließend wurde ein ZIP-Archiv mit XMRig-Malware heruntergeladen und wiederholt Verbindungen zu einem Mining-Pool hergestellt. Die IAM-Rolle der Instanz war für den Zugriff auf Amazon-Bedrock-Ressourcen konfiguriert. Darktrace konnte die genaue Initialkompromittierung nicht vollständig nachweisen, da Host-Level-Logs nicht verfügbar waren; die zeitliche Abfolge von SSH-Exposition, Malware-Download und Mining-Verbindungen deutet jedoch stark auf eine Kompromittierung hin.
Einen Tag später registrierte Darktrace verdächtige IAM-Aktivitäten durch eine andere AWS-Identität: ein „GetSendQuota“-API-Aufruf von einer IP-Adresse in Vietnam, Aufzählungsversuche von Amazon-Bedrock-Modellen, sowie der Versuch, einen neuen IAM-Benutzer mit zufällig generiertem Namen zu erstellen. Diese Muster sind typisch für die Etablierung von Persistenz nach Credential-Kompromittierung. Eine direkte Verbindung dieser IAM-Aktivitäten zum LiteLLM-Incident konnte Darktrace jedoch nicht nachweisen.
Sean Malone, CISO bei BeyondTrust, ordnet den Vorfall ein: „Ohne das AI-Branding ist dies ein Cloud-Intrusion-Muster, das wir seit mindestens 2018 beobachten: SSH offen im Internet, Brute-Force-Versuche, XMRig-Miner und wiederholte Verbindungen zu Mining-Pools. Auch der AI-spezifische Aspekt – gestohlene Credentials für Bedrock-Zugriff – hat seit 2024 einen Namen: LLMjacking.“ Malone bestätigt jedoch die Einschätzung zur Blast-Radius: „AI-Gateways konzentrieren Credentials, Cloud-Berechtigungen und Modelzugriff auf einen einzelnen Choke-Point, daher landet eine routinemäßige Intrusion auf einem privilegierten Asset.“
Jason Soroko, Senior Fellow bei Sectigo, betont die strukturelle Bedeutung: „Diese Gateways werden zu Vermittlern für Identität, Modelzugriff, Prompts, Logs und Policy. Wenn sie über SSH exponiert oder mit breiten IAM-Berechtigungen konfiguriert sind, sind sie nicht länger eine beliebige EC2-Instanz, sondern ein Kontrollpunkt für AI-Operationen.“ Als Maßnahmen empfiehlt Soroko: öffentliche Admin-Pfade schließen, Langzeit-Keys eliminieren, IAM-Berechtigungen eingrenzen, Bedrock- und Modelzugriffsmuster monitoren sowie Workload-Telemetrie mit Control-Plane-Events korrelieren.
Quelle: www.csoonline.com · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.