{"id":669,"date":"2024-10-11T12:14:45","date_gmt":"2024-10-11T12:14:45","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=669"},"modified":"2024-10-11T12:14:45","modified_gmt":"2024-10-11T12:14:45","slug":"hacker-zielen-auf-llm-zugange","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=669","title":{"rendered":"Hacker zielen auf LLM-Zug\u00e4nge"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
LLM-Jacking: Angreifer nutzen gestohlene AWS-Anmeldeinformationen, um LLMs zu aktivieren und die Kosten f\u00fcr die Opfer zu erh\u00f6hen.\n

Tada Images \u2013 shutterstock.com<\/p>\n<\/div>\n

Der Schwarzmarkt f\u00fcr den Zugang zu gro\u00dfen Sprachmodellen (Large Language Models \u2013\u00a0LLMs<\/a>) w\u00e4chst. Angreifer missbrauchen dazu zunehmend gestohlene Cloud-Zugangsdaten, um KI-Dienste wie Amazon Bedrock abzufragen \u2013 eine Methode, die als LLM-Jacking bezeichnet wird.<\/p>\n

Untersuchungen des Security-Anbieter Sysdig deuten darauf hin, dass Bedrohungsakteure nicht nur LLMs abfragen, die Kontoinhaber bereits auf solchen Plattformen bereitgestellt haben, sondern auch versuchen, neue zu aktivieren. Dies k\u00f6nnte die Kosten f\u00fcr die Opfer schnell in die H\u00f6he treiben.<\/p>\n

\u201cLLM-Jacking ist auf dem Vormarsch\u201d, warnen die Sicherheitsforscher in ihrem\u00a0Bericht<\/a>. Im Juli 2024 verzeichneten sie eine zehnfache Zunahme der LLM-Anfragen und eine Verdoppelung der Anzahl der eindeutigen IP-Adressen, die an diesen Angriffen beteiligt sind. \u201cMit der fortschreitenden Entwicklung von gro\u00dfen Sprachmodellen steigen die Kosten f\u00fcr die Opfer bei Verwendung von Spitzenmodellen wie Claude 3 Opus fast um das Dreifache auf mehr als 100.000 Dollar pro Tag.\u201d<\/p>\n

Sysdig hat Beweise daf\u00fcr gefunden, dass die Angreifer, die sich an LLM-Jacking beteiligen, in einigen F\u00e4llen in Russland ans\u00e4ssig sind, wo der Zugang zu LLM-Chatbots und -Diensten westlicher Unternehmen durch Sanktionen stark eingeschr\u00e4nkt ist.<\/p>\n

\u201cDie Hauptsprache, die in den Eingabeaufforderungen verwendet wird, ist Englisch (80 Prozent), die zweith\u00e4ufigste Sprache ist Koreanisch (10 Prozent), der Rest sind Russisch, Rum\u00e4nisch, Deutsch, Spanisch und Japanisch\u201d, hei\u00dft es im Forschungsbericht.<\/p>\n

Angreifer missbrauchen Bedrock-APIs<\/h3>\n

Amazon Bedrock ist ein AWS-Dienst, der es Organisationen erm\u00f6glicht, LLMs von mehreren KI-Unternehmen einfach bereitzustellen und zu nutzen, um sie mit eigenen Datens\u00e4tzen zu erg\u00e4nzen und Agenten und Anwendungen um sie herum zu erstellen. Der Dienst unterst\u00fctzt\u00a0eine lange Liste von API-Aktionen<\/a>, \u00fcber die Modelle verwaltet und programmgesteuert mit ihnen interagiert werden kann.<\/p>\n

Zu den h\u00e4ufigsten API-Aktionen, die von Angreifern in diesem Jahr \u00fcber kompromittierte Anmeldeinformationen aufgerufen wurden, geh\u00f6rten InvokeModel, InvokeModelStream, Converse und ConverseStream. K\u00fcrzlich wurden Angreifer jedoch auch bei der Verwendung von PutFoundationModelEntitlement und PutUseCaseForModelAccess beobachtet. Diese dienen zusammen mit ListFoundationModels und GetFoundationModelAvailability dazu, Modelle im Voraus zu aktivieren. Dadurch k\u00f6nnen Angreifer erkennen, auf welche Modelle ein Konto Zugriff hat.<\/p>\n

Das bedeutet, dass auch Organisationen nicht sicher sind, die Bedrock bereitgestellt, aber bestimmte Modelle nicht aktiviert haben. Die Kostenunterschiede zwischen verschiedenen Modellen k\u00f6nnen erheblich sein. So berechneten die Forscher beispielsweise f\u00fcr die Nutzung eines Claude-2.x-Modells potenzielle Kosten von mehr als 46.000 Dollar pro Tag, w\u00e4hrend die Kosten f\u00fcr Modelle wie Claude 3 Opus zwei- bis dreimal h\u00f6her liegen k\u00f6nnten.<\/p>\n

Die Forscher haben festgestellt, dass Angreifer Claude 3 verwenden, um den Code eines Skripts zu generieren und zu verbessern, das in erster Linie dazu dient, das Modell abzufragen. Das Skript ist so konzipiert, dass es kontinuierlich mit dem Modell interagiert, Antworten generiert, nach bestimmten Inhalten sucht und die Ergebnisse in Textdateien speichert.<\/p>\n

\u201cDass Modelle in Bedrock deaktiviert werden und eine Aktivierung erforderlich ist, sollte nicht als Sicherheitsma\u00dfnahme betrachtet werden\u201d, betonten die Forscher. \u201cAngreifer k\u00f6nnen und werden sie in Ihrem Namen aktivieren, um ihre Ziele zu erreichen.\u201d<\/p>\n

Ein Beispiel ist die Converse API, die im Mai angek\u00fcndigt wurde und Benutzern eine vereinfachte M\u00f6glichkeit bietet, mit Amazon Bedrock-Modellen zu interagieren. Laut Sysdig begannen Angreifer innerhalb von 30 Tagen nach ihrer Ver\u00f6ffentlichung, die API zu missbrauchen. Converse API-Aktionen erscheinen nicht automatisch in CloudTrail-Protokollen, wohingegen InvokeModel-Aktionen dies tun.<\/p>\n

Lesetipp:<\/strong>\u00a0Ist Ihre Cloud-Security-Strategie bereit f\u00fcr LLMs?<\/a><\/p>\n

Ma\u00dfnahmen gegen LLM-Jacking<\/h3>\n

Selbst wenn die Protokollierung aktiviert ist, versuchen intelligente Angreifer, sie durch den Aufruf von DeleteModelInvocationLoggingConfiguration zu deaktivieren, wodurch die Aufrufprotokollierung f\u00fcr CloudWatch und S3 deaktiviert wird. In anderen F\u00e4llen \u00fcberpr\u00fcfen sie den Protokollierungsstatus und vermeiden die Verwendung gestohlener Zugangsdaten, um ihre Aktivit\u00e4ten zu verbergen.<\/p>\n

Angreifer rufen Amazon Bedrock-Modelle nicht oft direkt auf, sondern nutzen Dienste und Tools von Drittanbietern. Dies ist beispielsweise bei SillyTavern der Fall, einer Front-End-Anwendung f\u00fcr die Interaktion mit LLMs. Dabei m\u00fcssen Benutzer ihre eigenen Anmeldedaten f\u00fcr einen LLM-Dienst ihrer Wahl oder einen Proxy-Dienst bereitstellen<\/p>\n

\u201cDa dies kostspielig sein kann, hat sich ein ganzes kriminelles \u00d6kosystem rund um den Zugang zu LLMs entwickelt\u201d, so die Forscher. \u201cZugangsdaten werden auf viele Arten beschafft, unter anderem gegen Bezahlung, \u00fcber kostenlose Testversionen und durch Diebstahl. Da dieser Zugang ein wertvolles Gut ist, werden Reverse-Proxy-Server eingesetzt, um die Zugangsdaten sicher und unter Kontrolle zu halten.\u201d<\/p>\n

Unternehmen sollten Ma\u00dfnahmen ergreifen, um sicherzustellen, dass ihre AWS-Zugangsdaten und -Token nicht in Code-Repositories, Konfigurationsdateien und an anderen Stellen durchsickern. Sie sollten auch die Prinzipien der geringsten Privilegien anwenden, indem sie Token auf die Aufgabe beschr\u00e4nken, f\u00fcr die sie erstellt wurden.<\/p>\n

\u201cEvaluieren Sie Ihre Cloud kontinuierlich anhand von Best-Practice-Kontrollen, wie zum Beispiel dem AWS-Standard f\u00fcr grundlegende Sicherheits-Best-Practices\u201d, empfehlen die Sysdig-Forscher. \u201c\u00dcberwachen Sie Ihre Cloud auf potenziell kompromittierte Anmeldedaten, ungew\u00f6hnliche Aktivit\u00e4ten, unerwartete LLM-Nutzung und Indikatoren f\u00fcr aktive KI-Bedrohungen.\u201d (jm)<\/p>\n

Sie m\u00f6chten regelm\u00e4\u00dfig \u00fcber wichtige Themen rund um Cybersicherheit informiert werden? Unser kostenloser\u00a0Newsletter<\/a>\u00a0liefert Ihnen alles, was Sie wissen m\u00fcssen.<\/em><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

LLM-Jacking: Angreifer nutzen gestohlene AWS-Anmeldeinformationen, um LLMs zu aktivieren und die Kosten f\u00fcr die Opfer zu erh\u00f6hen. Tada Images \u2013 shutterstock.com Der Schwarzmarkt f\u00fcr den Zugang zu gro\u00dfen Sprachmodellen (Large Language Models \u2013\u00a0LLMs) w\u00e4chst. Angreifer missbrauchen dazu zunehmend gestohlene Cloud-Zugangsdaten, um KI-Dienste wie Amazon Bedrock abzufragen \u2013 eine Methode, die als LLM-Jacking bezeichnet wird. Untersuchungen […]<\/p>\n","protected":false},"author":0,"featured_media":670,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-669","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/669"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=669"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/669\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/670"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=669"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=669"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=669"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}