10 минут и права админа. Хакеры с помощью ИИ взломали облако Amazon (и при чем тут сербский язык)

Злоумышленник взломал облачную среду Amazon Web Services и всего за десять минут получил права администратора. По данным исследователей, ускорить атаку ему помог искусственный интеллект, который использовался почти на каждом этапе вторжения.

Команда исследования угроз компании Sysdig зафиксировала инцидент 28 ноября. Специалисты обратили внимание не только на скорость действий, но и на признаки автоматизации. По их оценке, преступник применял большие языковые модели для разведки, повышения привилегий, перемещения внутри инфраструктуры и написания вредоносного кода. Также была замечена попытка так называемого «угона» языковых моделей, когда захваченная учетная запись используется для доступа к облачным моделям и вычислительным ресурсам.

Исследователи сообщили, что атакующий получил административные права менее чем за 10 минут, скомпрометировал 19 облачных идентификаторов и задействовал сервисы генеративных моделей и графические ускорители. Вредоносный код содержал комментарии на сербском языке, вымышленные идентификаторы учетных записей и ссылки на несуществующие хранилища исходного кода. Это указывает на то, что код, вероятно, был создан с помощью искусственного интеллекта.

Начальной точкой входа стали тестовые учетные данные, найденные в открытых хранилищах Amazon S3. Эти данные принадлежали пользователю системы управления доступом с правами чтения и записи для облачных функций и ограниченным доступом к сервису языковых моделей. В том же хранилище находились данные для дообучения моделей, которые позже пригодились в ходе атаки. Специалисты напоминают, что ключи доступа нельзя хранить в открытых хранилищах, а временные учетные данные безопаснее постоянных. Если постоянные ключи все же используются, их нужно регулярно менять.

Сначала злоумышленник пытался получить расширенные права через типовые имена учетных записей администратора, но безуспешно. Затем он применил внедрение кода в облачную функцию и воспользовался разрешениями на обновление кода и конфигурации. Код функции переписывался несколько раз с попытками выйти на нужного пользователя. В итоге был скомпрометирован администраторский аккаунт.

Вредоносный скрипт перебирал пользователей и ключи доступа, создавал новые ключи, просматривал хранилища и их содержимое. В нем была продуманная обработка ошибок и увеличено время выполнения функции, что также косвенно говорит об использовании генеративной модели. От кражи учетных данных до запуска функции прошло совсем мало времени.

Далее атакующий собирал идентификаторы учетных записей и пытался получить доступ к ролям во всех обнаруженных средах. Среди них оказались и явно посторонние идентификаторы с шаблонными цифрами. Исследователи считают это характерным признаком «галлюцинаций» искусственного интеллекта, когда модель добавляет правдоподобные, но неверные данные.

Получив расширенный доступ, преступник выгрузил секреты из менеджера секретов, параметры систем управления, журналы событий, исходные коды функций и данные из хранилищ. После этого он перешел к использованию облачных языковых моделей через сервис Bedrock и вызывал разные модели, которыми владелец учетной записи обычно не пользовался. Эксперты называют такие вызовы тревожным признаком и советуют ограничивать список разрешенных моделей на уровне политики организации.

Затем злоумышленник занялся виртуальными машинами для задач машинного обучения, использовал облачное хранилище для размещения скриптов и попытался запустить среду для обучения моделей. Один из скриптов ссылался на несуществующий репозиторий исходного кода, что снова указывает на генерацию с помощью модели. Скрипт также поднимал общедоступный сервер вычислительной среды на порту 8888, который мог служить скрытым входом без облачных учетных данных. Правда, созданный экземпляр был остановлен уже через пять минут.

В компании Sysdig отмечают, что все больше атак проводится с помощью искусственного интеллекта, а полная автоматизация вторжений становится вопросом времени. Основные меры защиты связаны с жестким контролем учетных записей и прав доступа. Рекомендуется придерживаться принципа минимально необходимых прав, ограничивать возможность изменения кода облачных функций и передачи ролей, закрывать публичный доступ к хранилищам с чувствительными данными и включать журналирование обращений к моделям.

В Amazon заявили, что сама инфраструктура сервисов не была уязвима и работала штатно. Инцидент связан с неправильно настроенным открытым хранилищем клиента. Компания советует не открывать публичный доступ к хранилищам, применять минимальные права, защищать учетные данные и использовать сервисы мониторинга для снижения риска несанкционированных действий.