Skip to content

AI-lüüsi kompromiteerimine paljastab uue ründepinna pilveinfrastruktuuris

Lühidalt: AI-lüüsid, mis on pilveidentiteetide ja -mudelite kesksed ligipääsupunktid, muutuvad eelistatud rünnaku sihtmärgiks, kuna edukas rünnak annab kohe ligipääsu privilegeeritud süsteemidele.

Darktrace’i teadlased dokumenteerisid rünnaku, mille käigus kurjategijad kompromiteerisid Amazon Bedrocki jaoks LiteLLM-proksit kasutava AWS EC2 instantsi ja paigaldasid sinna XMRigi krüptokaevandamise pahavara. Intsident toob esile põhjalikuma probleemi: AI-lüüsid koondavad identiteedid, pilveõigused ja mudelitele ligipääsu ühte kõrge privileegiga süsteemi.

Rünnak järgis tuntud pilverünnaku meetodit: EC2 instantsil oli SSH port 22 avalikult ligipääsetav. Darktrace täheldas suurt hulka sissetulevaid SSH-ühenduskatseid, mis pärinesid valdavalt ühest ja samast välisest IP-aadressist, viidates jõuründele (brute-force). Seejärel laaditi alla ZIP-arhiiv koos XMRigi pahavaraga ning loodi korduvalt ühendusi kaevanduspooliga. Instantsi IAM-roll oli konfigureeritud Amazon Bedrocki ressurssidele ligipääsuks. Darktrace ei suutnud algset kompromiteerimist täielikult tõendada, kuna hosti tasandi logid polnud kättesaadavad, kuid SSH-i avatuse, pahavara allalaadimise ja kaevandusühenduste ajaline järjestus viitab tugevalt kompromiteerimisele.

Päev hiljem registreeris Darktrace kahtlast IAM-tegevust teise AWS-identiteedi poolt: „GetSendQuota” API-kutse Vietnamis asuvalt IP-aadressilt, Amazon Bedrocki mudelite loetlemiskatsed ning katse luua uus juhuslikult genereeritud nimega IAM-kasutaja. Need mustrid on tüüpilised püsivuse loomisele pärast mandaatide kompromiteerimist. Otsest seost selle IAM-tegevuse ja LiteLLM-i intsidendi vahel Darktrace siiski tõendada ei suutnud.

Sean Malone, BeyondTrusti CISO, paigutab intsidendi konteksti: „Kui AI-bränding kõrvale jätta, on see pilverünnaku muster, mida oleme näinud vähemalt alates 2018. aastast: internetis avatud SSH, jõurünnaku katsed, XMRigi kaevandajad ja korduvad ühendused kaevanduspoolidega. Ka AI-spetsiifilisel aspektil – Bedrocki ligipääsuks varastatud mandaadid – on alates 2024. aastast nimi: LLMjacking.” Malone kinnitab siiski hinnangut mõju ulatuse kohta: „AI-lüüsid koondavad mandaadid, pilveõigused ja mudelitele ligipääsu ühte kitsaskohta, mistõttu rutiinne sissetung jõuab lõpuks privilegeeritud varani.”

Jason Soroko, Sectigo vanemteadur, rõhutab struktuurset tähtsust: „Need lüüsid muutuvad vahendajaks identiteedi, mudelitele ligipääsu, promptide, logide ja poliitikate osas. Kui need on SSH kaudu avatud või konfigureeritud laiade IAM-õigustega, ei ole need enam suvaline EC2 instants, vaid AI-toimingute kontrollpunkt.” Meetmetena soovitab Soroko: sulgeda avalikud admin-teed, kaotada pikaajalised võtmed, piirata IAM-õigusi, jälgida Bedrocki ja mudelitele ligipääsu mustreid ning korreleerida töökoormuse telemeetriat kontrollitasandi sündmustega.


Allikas: www.csoonline.com · Avaldatud 9. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 abil.

Share on: