Microsoft verklagt Hackergruppe wegen Missbrauchs von Azure AI
Microsoft geht juristisch gegen eine „ausländische Hackergruppe“ vor, die gezielt die Schutzmaßnahmen seiner KI-Dienste aushebelt. Die Angreifer betreiben eine Hacking-as-a-Service-Plattform, um Microsofts generative KI für die Erstellung von gefährlichen und beleidigenden Inhalten zu missbrauchen.
Die Digital Crimes Unit (DCU) des Technologiekonzerns erklärte im Zusammenhang mit dem Gerichtsverfahren, sie habe beobachtet, dass die Bedrohungsakteure „hochentwickelte Software eingesetzt haben, die öffentlich zugängliche Kundendaten von Websites sammelte und ausnutzte“. Zudem hätten sie versucht, „Accounts bestimmter generativer KI-Dienste zu identifizieren und unbefugt zu übernehmen, um deren Funktionen gezielt zu manipulieren“.
Die Angreifer nutzten daraufhin Dienste wie den Azure OpenAI Service und verwerteten den unrechtmäßigen Zugang finanziell, indem sie ihn an andere Kriminelle weiterverkauften. Dabei lieferten gleich die passenden Anleitungen, wie sich die manipulierten Tools gezielt zur Erstellung schädlicher Inhalte einsetzen lassen. Microsoft entdeckte diese Aktivitäten im Juli 2024.
Die wachsende Beliebtheit generativer KI-Tools wie ChatGPT hat auch zur Folge, dass Cyberkriminelle diese für illegale Zwecke nutzen. Dabei reicht das Spektrum von der Erstellung verbotener Inhalte bis hin zur Entwicklung von Malware. Microsoft und OpenAI haben wiederholt darauf hingewiesen, dass staatlich unterstützte Hackergruppen aus Ländern wie China, Iran, Nordkorea und Russland KI-Dienste für Spionage, Desinformationskampagnen und Übersetzungen einsetzen.
Details zur Vorgehensweise der Hackergruppe
Die Hackergruppe nutzte gestohlene Microsoft API-Schlüssel sowie gestohlene Zugangsdaten von Entra ID (ehemals Azure Active Directory), um sich Zugang zu Microsoft-Systemen zu verschaffen. Über die manipulierten Dienste generierten sie mithilfe des OpenAI-Tools DALL-E zahlreiche schädliche Bilder, die gegen die Richtlinien zur Nutzung von Microsofts KI verstießen.
Im Rahmen der Ermittlungen stellte Microsoft fest, dass die Hacker ihre Dienste über Webseiten wie „aitism[.]net“ und „rentry.org/de3u“ anboten. Über diese Plattformen konnten Kunden der Hackergruppe die manipulierten Azure-KI-Dienste nutzen, um selbst schädliche Inhalte zu erstellen. Microsoft hat inzwischen den Zugang der Angreifer gesperrt, neue Schutzmaßnahmen implementiert und einen Gerichtsbeschluss erhalten, die Domain „aitism[.]net“ zu beschlagnahmen.
Gerichtsdokumente zeigen, dass mindestens drei unbekannte Personen hinter der Hackergruppe stehen. Sie nutzten gestohlene Azure API-Schlüssel, um über eine maßgeschneiderte Benutzeroberfläche, genannt „de3u“, schädliche Inhalte zu erstellen. Die Plattform „de3u“ agierte als Frontend für DALL-E 3 und ermöglichte es, Bildanfragen über eine sogenannte Reverse-Proxy-Infrastruktur an die Azure OpenAI Services zu senden.
Dabei wurden die gestohlenen API-Schlüssel eingesetzt, um die Anfragen zu authentifizieren und die Antworten von den Azure-Servern zurück an die Benutzergeräte zu leiten. Die Anfragen wurden so gestaltet, dass sie legitimen API-Anfragen von Microsofts Diensten täuschend ähnlich sahen.
Die verwendete Reverse-Proxy-Infrastruktur, genannt „oai reverse proxy“, leitete die Anfragen der Nutzer über einen Cloudflare-Tunnel an Azure weiter. Dies machte es für Microsoft schwierig, die unrechtmäßigen Zugriffe frühzeitig zu erkennen.
Spurenverwischung und gezielte Angriffe auf KI-Anbieter
Nach der Entdeckung ihrer Aktivitäten versuchte die Hackergruppe, ihre Spuren zu verwischen. Sie löschte Seiten auf „Rentry.org“, das GitHub-Repository des Tools „de3u“ sowie Teile der Reverse-Proxy-Infrastruktur. Trotzdem gelang es Microsoft, umfangreiche Beweise zu sichern.
Ein nun gelöschtes GitHub-Repository beschrieb „de3u“ als „DALL-E 3-Frontend mit Reverse-Proxy-Unterstützung“. Der zugehörige GitHub-Account wurde im November 2023 erstellt.
Laut Microsoft gibt es Hinweise darauf, dass sich die Aktivitäten der Hackergruppe nicht nur auf Microsoft beschränken. Auch andere Anbieter von KI-Diensten, darunter Anthropic, AWS Bedrock, Google Cloud Vertex AI, Mistral und OpenAI, wurden offenbar durch ähnliche Angriffe ins Visier genommen.
Microsoft zieht Bilanz: systematische API-Schlüssel-Diebstähle
Microsoft erklärte, die Angreifer hätten sich systematisch API-Schlüssel von verschiedenen Kunden, darunter auch mehreren US-amerikanischen Unternehmen aus Pennsylvania und New Jersey, beschafft. Diese gestohlenen Schlüssel nutzten sie, um eine „Hacking-as-a-Service“-Plattform aufzubauen und diese über Domains wie „aitism[.]net“ anzubieten.
„Die Angeklagten haben eine koordinierte und kontinuierliche Reihe illegaler Aktivitäten durchgeführt, um ihre gemeinsamen kriminellen Ziele zu erreichen“, heißt es in der Klage von Microsoft. Das Unternehmen bezeichnete die Gruppe als „Azure Abuse Enterprise“, da sie gezielt die Infrastruktur und Software von Azure missbrauchten.
Der Fall zeigt, dass der Missbrauch von Proxy-Diensten zur Umgehung von Schutzmaßnahmen generativer KI-Dienste zunimmt. Bereits im Mai 2024 hatte das Sicherheitsunternehmen Sysdig vor einer LLMjacking-Kampagne gewarnt, bei der gestohlene Cloud-Zugangsdaten verwendet wurden, um KI-Dienste verschiedener Anbieter illegal zugänglich zu machen.
Microsoft betonte, dass das „Azure Abuse Enterprise“ nicht nur Angriffe auf Microsoft-Dienste, sondern auch auf andere KI-Anbieter durchgeführt habe. Die Ermittlungen dauern an.