Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Спонсор даркнета поневоле: пока вы спите, хакеры жгут ваш бюджет на GPT-4 через забытые настройки прокси

прокси ИИ LLM GreyNoise SSRF ProjectDiscovery OAST
Спонсор даркнета поневоле: пока вы спите, хакеры жгут ваш бюджет на GPT-4 через забытые настройки прокси
прокси ИИ LLM GreyNoise SSRF ProjectDiscovery OAST

Как не быть "папиком" для ботнета? Рассказывает GreyNoise.

image

Злоумышленники начали массово прочёсывать интернет в поисках неправильно настроенных прокси-серверов, через которые можно получить доступ к коммерческим сервисам на базе больших языковых моделей. Кампания идёт как минимум с конца декабря и выглядит не как случайное сканирование, а как системная разведка.

По данным платформы мониторинга угроз GreyNoise, атакующие уже проверили более 73 конечных точек, связанных с LLM, и сгенерировали свыше 80 тысяч сессий. При этом используются тихие запросы — короткие приветствия, пустые строки или нейтральные фактические вопросы. Такой подход позволяет определить, к какой именно модели есть доступ, не привлекая внимания систем защиты и журналирования.

За последние четыре месяца ловушка GreyNoise на базе Ollama зафиксировала в общей сложности 91 403 попытки доступа, относящиеся к двум разным кампаниям. Первая из них началась ещё в октябре и продолжается до сих пор. Пик активности пришёлся на рождественские праздники, когда за 48 часов было зафиксировано 1 688 сессий. В этом случае атакующие эксплуатировали уязвимости класса SSRF, заставляя серверы подключаться к внешней инфраструктуре, контролируемой нападавшими.

Исследователи отмечают, что злоумышленники использовали механизм загрузки моделей в Ollama, подсовывая вредоносные URL-адреса реестров и интеграции с SMS-вебхуками Twilio через параметр MediaURL. При этом применялась инфраструктура ProjectDiscovery OAST, которая обычно используется в легальных тестах безопасности. По мнению GreyNoise, это указывает на «серую зону»: активность, вероятно, ведут исследователи или участники bug bounty-программ, но масштаб и выбранное время выходят за рамки обычного аудита.

Телеметрия показывает, что эта кампания шла с 62 IP-адресов из 27 стран. По своим характеристикам они больше похожи на VPS-серверы, чем на классический ботнет.

Вторая кампания стартовала 28 декабря и была куда более агрессивной. За 11 дней она породила 80 469 сессий. Всего два IP-адреса методично перебирали более 73 конечных точек, используя как OpenAI-совместимые API, так и форматы Google Gemini. В список проверяемых моделей попали решения практически всех крупных провайдеров: GPT-4o и его варианты, линейка Claude, Llama 3, DeepSeek-R1, Gemini, Mistral, Qwen и Grok.

Инфраструктура, с которой велось сканирование, ранее уже фигурировала в масштабных кампаниях по поиску и эксплуатации уязвимостей. Это даёт основания считать, что речь идёт о целенаправленной разведке с целью составить карту доступных LLM-сервисов. Прямых признаков последующей эксплуатации, кражи данных или злоупотребления моделями исследователи не зафиксировали, но подчёркивают, что такие объёмы сканирования не делаются «на всякий случай».

В GreyNoise отмечают, что десятки тысяч запросов — это инвестиция ресурсов, и подобную карту инфраструктуры обычно собирают с расчётом на дальнейшее использование.

Для защиты от подобных действий рекомендуют ограничить загрузку моделей в Ollama только доверенными реестрами, включить фильтрацию исходящего трафика и блокировать известные OAST-домены на уровне DNS. А для противодействия перебору конечных точек также следует вводить ограничения по частоте запросов для подозрительных автономных систем и отслеживать сетевые отпечатки JA4, характерные для автоматизированных инструментов сканирования.