10 минут и права админа. Хакеры с помощью ИИ взломали облако Amazon (и при чем тут сербский язык)
NewsMakerВ Amazon прокомментировали взлом облачной среды клиента.
Злоумышленник взломал облачную среду Amazon Web Services и всего за десять минут получил права администратора. По данным исследователей, ускорить атаку ему помог искусственный интеллект, который использовался почти на каждом этапе вторжения.
Команда исследования угроз компании Sysdig зафиксировала инцидент 28 ноября. Специалисты обратили внимание не только на скорость действий, но и на признаки автоматизации. По их оценке, преступник применял большие языковые модели для разведки, повышения привилегий, перемещения внутри инфраструктуры и написания вредоносного кода. Также была замечена попытка так называемого «угона» языковых моделей, когда захваченная учетная запись используется для доступа к облачным моделям и вычислительным ресурсам.
Исследователи сообщили, что атакующий получил административные права менее чем за 10 минут, скомпрометировал 19 облачных идентификаторов и задействовал сервисы генеративных моделей и графические ускорители. Вредоносный код содержал комментарии на сербском языке, вымышленные идентификаторы учетных записей и ссылки на несуществующие хранилища исходного кода. Это указывает на то, что код, вероятно, был создан с помощью искусственного интеллекта .
Начальной точкой входа стали тестовые учетные данные, найденные в открытых хранилищах Amazon S3 . Эти данные принадлежали пользователю системы управления доступом с правами чтения и записи для облачных функций и ограниченным доступом к сервису языковых моделей. В том же хранилище находились данные для дообучения моделей, которые позже пригодились в ходе атаки. Специалисты напоминают, что ключи доступа нельзя хранить в открытых хранилищах, а временные учетные данные безопаснее постоянных. Если постоянные ключи все же используются, их нужно регулярно менять.
Злоумышленник взломал облачную среду Amazon Web Services и всего за десять минут получил права администратора. По данным исследователей, ускорить атаку ему помог искусственный интеллект, который использовался почти на каждом этапе вторжения.
Команда исследования угроз компании Sysdig зафиксировала инцидент 28 ноября. Специалисты обратили внимание не только на скорость действий, но и на признаки автоматизации. По их оценке, преступник применял большие языковые модели для разведки, повышения привилегий, перемещения внутри инфраструктуры и написания вредоносного кода. Также была замечена попытка так называемого «угона» языковых моделей, когда захваченная учетная запись используется для доступа к облачным моделям и вычислительным ресурсам.
Исследователи сообщили, что атакующий получил административные права менее чем за 10 минут, скомпрометировал 19 облачных идентификаторов и задействовал сервисы генеративных моделей и графические ускорители. Вредоносный код содержал комментарии на сербском языке, вымышленные идентификаторы учетных записей и ссылки на несуществующие хранилища исходного кода. Это указывает на то, что код, вероятно, был создан с помощью искусственного интеллекта .
Начальной точкой входа стали тестовые учетные данные, найденные в открытых хранилищах Amazon S3 . Эти данные принадлежали пользователю системы управления доступом с правами чтения и записи для облачных функций и ограниченным доступом к сервису языковых моделей. В том же хранилище находились данные для дообучения моделей, которые позже пригодились в ходе атаки. Специалисты напоминают, что ключи доступа нельзя хранить в открытых хранилищах, а временные учетные данные безопаснее постоянных. Если постоянные ключи все же используются, их нужно регулярно менять.