Битва за GPU. Злоумышленники научились «убивать» чужие майнеры, чтобы высвободить мощности для себя

Ray Oligo Security GitLab GitHub IronErn440 ShadowRay уязвимость
Битва за GPU. Злоумышленники научились «убивать» чужие майнеры, чтобы высвободить мощности для себя
Ray Oligo Security GitLab GitHub IronErn440 ShadowRay уязвимость

Счета за электричество оплачиваете вы, а прибыль забирают невидимые захватчики.

image

Новая волна атак на инфраструктуру, связанную с современными системами машинного обучения, обнаружена командой Oligo Security. Специалисты выяснили, что группа злоумышленников развернула масштабную операцию под названием ShadowRay 2.0, в которой инструменты ИИ используются против самих же платформ, отвечающих за управление вычислительными нагрузками. Целью кампании стали доступные из сети инстансы Ray — популярного фреймворка для распределённого выполнения задач, применяемого в многочисленных проектах, включая коммерческие и исследовательские среды.

По данным Oligo, атаки эксплуатируют уязвимость CVE-2023-48022, известную с 2023 года и связанную с отсутствием аутентификации в API Ray Jobs. Разработчики Ray рассматривают это как часть архитектуры, предполагающей работу в полностью контролируемой среде, однако на практике многие компании используют Ray на публичных серверах, что создаёт условия для компрометации инфраструктуры. За два года количество открытых экземпляров Ray выросло до более чем двухсот тысяч, причём часть из них уже скомпрометирована.

В ходе кампании злоумышленники, действующие под псевдонимом IronErn440, применили подход, характерный для DevOps-команд: вредоносная логика распространялась через GitLab и GitHub, обновлялась динамически с учётом региона, типа оборудования и конфигурации узлов.

Команда Oligo зафиксировала несколько волн атаки. Первая волна касалась размещения вредоносных обновлений на GitLab, но после удаления репозитория злоумышленники оперативно перенесли инфраструктуру на GitHub, создали новые аккаунты и продолжили распространение инструментов.

Ключевым элементом операции стало автономное распространение по кластерам Ray: злоумышленники использовали законные механизмы оркестрации для запуска вредоносных задач на каждом узле. Вредоносные цепочки включали разведку, скрытую установку криптовалютных майнеров, установку обратных соединений и создание механизмов закрепления. Использовались замаскированные процессы под системные службы, а также скрытая загрузка GPU для работы майнеров, которая не отображалась в инструментах наблюдения Ray.

Внутри заражённых сред обнаружены признаки конкуренции между разными преступными группами: майнеры IronErn440 активно завершали процессы соперников, блокировали их адреса и переписывали правила сетевого фильтра. В отдельных случаях операторы кампании получили доступ к конфиденциальным данным, включая ключи от облачных сервисов, параметры приложений, рабочие модели и базы данных, что выводит угрозу за пределы криптомайнинга. На части узлов зафиксированы попытки использовать скомпрометированные ресурсы для DDoS-атак.

Расследование указывает, что операция могла длиться больше года и затронула инфраструктуру на разных континентах. Рост числа открытых Ray-серверов и отсутствие исправления уязвимости создали условия для её повторного использования и эволюции методов нападения.

Специалисты подчёркивают, что корнем проблемы остаются ошибки развёртывания и отсутствие изоляции, поскольку Ray по умолчанию не предназначен для работы в открытой сети. В качестве рекомендаций предлагается проверять конфигурации с помощью инструментов Anyscale, закрывать доступ к панели Ray, использовать фильтрацию на уровне сети и контролировать аномалии внутри вычислительных сред.