Angriff auf in der Cloud gehostete KI-Modelle entdeckt
Sicherheitsexperten haben einen neuen Angriff entdeckt: Dabei werden gestohlene Cloud-Anmeldeinformationen verwendet, um Large-Language-Model-(LLM)-Dienste in der Cloud anzugreifen. Die Cyberkriminellen verkaufen dann den Zugang an andere Bedrohungsakteure.
Wie Sicherheitsexperten des Sysdig Threat Research Teams berichten, haben Cyberkriminelle einen raffinierten Angriff durchgeführt, bei dem gestohlene Cloud-Anmeldeinformationen genutzt wurden, um auf cloud-gehostete Large-Language-Model-(LLM)-Dienste zuzugreifen. Das Ziel war ein lokales Claude (v2/v3) LLM-Modell von Anthropic.
Der Angriffsweg begann mit dem Eindringen in ein System, auf dem eine anfällige Version des Laravel-Frameworks lief. Von dort aus erlangten die Angreifer Zugriff auf Amazon-Web-Services-(AWS)-Zugangsdaten, um die LLM-Dienste zu infiltrieren. Darüber hinaus wurde ein Open-Source-Python-Skript verwendet, um die Gültigkeit von Schlüsseln für verschiedene Angebote von Anthropic, AWS Bedrock, Google Cloud Vertex AI, Mistral und OpenAI zu überprüfen.
Während des Angriffs wurden keine legitimen LLM-Anfragen gestellt. Die Kriminellen testeten lediglich die Möglichkeiten der gestohlenen Anmeldeinformationen und ermittelten ihre Einschränkungen.
Der Keychecker ist außerdem mit einem anderen Open-Source-Tool namens oai-reverse-proxy integriert. Dieses dient als Reverse-Proxy-Server für LLM-APIs. Das deutet darauf hin, dass die Angreifer wahrscheinlich den Zugriff auf die kompromittierten Konten gewähren, ohne die eigentlichen Anmeldedaten preiszugeben.
„Die Angreifer könnten versuchen, Geld mit den gesammelten Anmeldeinformationen und dem Zugang zu den LLM-Modellen zu verdienen, indem sie einen Reverse-Proxy wie diesen verwenden“, so der Sicherheitsanalyst Alessandro Brucato von Sysdig.
Außerdem haben die Angreifer die Protokollierungseinstellungen abgefragt, was vermuten lässt, dass sie versuchen, die Entdeckung zu vermeiden, wenn sie die gestohlenen Anmeldedaten für ihre Zwecke nutzen.
Diese neue Entwicklung markiert eine Verschiebung weg von Angriffen, die sich auf Prompt Injections und Model Poisoning konzentrieren. Stattdessen ermöglicht sie den Angreifern, ihren Zugang zu den Large Language Models (LLMs) zu monetarisieren, während der Eigentümer des Cloud-Kontos unwissentlich die Rechnung trägt.
Sysdig zufolge könnten die Kosten für den LLM-Verbrauch dem Opfer pro Tag über 46.000 US-Dollar einbrocken.