khunkornStudio – shutterstock.com
Forscher des Sicherheitsanbieters Sysdig haben einen Angriff aufgedeckt, bei dem kriminelle Angreifer eine AWS-Umgebung in weniger als acht Minuten vollständig kompromittieren konnten. Laut den Threat-Spezialisten nutzten die Bedrohungsakteure dabei eine Cloud-Fehlkonfiguration mit der Hilfe von Large Language Models (LLMs) aus, um den gesamten Angriffs-Lebenszyklus zu komprimieren – von Stunden auf wenige Minuten.
„Sich gegen Angriffe dieser Art zu verteidigen, erfordert KI-fokussierte Technologien, die in der Lage sind Schlussfolgerungen zu ziehen und es ermöglichen, auf automatisierte Attacken mit der nötigen Geschwindigkeit zu reagieren“, meint Ram Varadarajan, CEO beim Plattformanbieter Acalvio.
Vom Public Bucket zur Privilege Escalation
Initial konnten sich die Cyberkriminellen laut den Sicherheitsforschern Zugriff verschaffen, indem sie gültige AWS-Anmeldedaten nutzten, die zuvor in öffentlichen S3Buckets offengelegt wurden. Diese enthielten auch KI-bezogene Daten, etwa Berechtigungen für die Interaktion mit Lambda und eingeschränkten Zugriff auf Amazon Bedrock.
„Dieser Benutzer wurde wahrscheinlich mit der Intention erstellt, Bedrock-Tasks mit Lambda-Funktionen in der gesamten Umgebung zu automatisieren“, erklären die Sysdig-Forscher.
Mit Lesezugriff auf die gesamte Umgebung hatten die Angreifer dann auch leichtes Spiel damit, sich einen Überblick über alle verfügbaren AWS-Dienste zu verschaffen und ihre Berechtigungen zu erweitern, indem sie eine existierende Lambda-Funktion modifizierten.
Wie die Analyse der Sicherheitsforscher zeigt, weist der Lambda-Code Anzeichen auf, die darauf hindeuten, dass er per LLM generiert wurde , darunter ein umfassendes Exception Handling iterative Targeting-Logik und nicht-englische Kommentare.
Laterale Bewegung, LLMjacking und GPU-Missbrauch
Nachdem sich die Angreifer administrativen Zugriff verschafft hatten, bewegten sie sich lateral über 19 verschiedene AWS-Principals und erstellten neue Benutzerkonten, um ihre Aktivitäten auf verschiedene Identitäten zu verteilen. Dieser Ansatz ermöglichte den Angreifern Persistenz und erschwerte parallel die Detection, wie die Forscher in ihrem Bericht festhalten.
Anschließend verlagerten die Hacker ihren Fokus auf Amazon Bedrock, ermittelten die verfügbaren Modelle und deaktivierten die Protokollierung von Modellaufrufen. Laut den Forschern wurden dann mehrere Foundation-Modelle aufgerufen , entsprechend dem Muster von „LLMjacking“. Zudem verwies der Code in Teilen auch auf nicht existierende Repositories und Ressourcen, was Sysdig auf LLM-Halluzinationen zurückführt.
Im Anschluss missbrauchten die Angreifer schließlich auch noch Ressourcen. Demnach versuchten die Angreifer, High-End-GPU-Instanzen für Machine-Learning-Workloads zu starten. Während das bei den meisten Instanzen aufgrund von Kapazitätsbeschränkungen fehlschlug, konnten die Cyberkriminellen allerdings eine besonders kostspielige GPU-Instanz starten – inklusive Skripten, um CUDA zu installieren, Trainings-Frameworks bereitzustellen und ein öffentliches JupyterLab-Interface zu exponieren.
Experten zufolge ist das Beunruhigendste an diesem Angriff nicht, dass KI eine neue Angriffstechnik ermöglicht hat.
„Wenn man diesen Angriff auf das Wesentliche reduziert, ist das bahnbrechende nicht die Technik“, betont etwa Shane Barney, CISO bei Keeper Security. „Entscheidend ist die geringe Widerstandsfähigkeit der Umgebung, sobald der Angreifer legitimen Zugriff erhalten hat.“ Der Sicherheitsentscheider warnt davor, dass KI Reconnaissance, Privilege Testing und laterale Bewegungen durch das Netzwerk in einer besonders schnellen Sequenz komprimiert. Hierdurch werde die Pufferzeit, auf die sich die Verteidiger bislang traditionell verlassen hätten, eliminiert.
Um das Risiko solcher Attacken zu verringern, empfehlen die Sysdig-Forscher, das Least-Privilege-Prinzip konsequent auf sämtliche IAM-Benutzer- und Lambda-Execution-Rollen anzuwenden. Darüber hinaus sollten sensible S3-Buckets niemals öffentlich zugänglich sein, warnt Sysdig.
Die Research-Experten legen Unternehmen außerdem ans Herz
die Lambda-Versionierung zu nutzen,
die Protokollierung der Modellaufrufe in Bedrock zu aktivieren, und
verdächtige, großangelegte Enumeration-Aktivitäten kritisch zu überprüfen.
(jm/fm)
No Responses