LLM-джекинг
Оригинал: LLM Jacking
Sysdig Threat Research Team обнаружила, что злоумышленники использовали украденные учетные данные для получения доступа к большим языковым моделям (LLM), размещенным в облаке. Субъекты угрозы скрытно собирали информацию о том, какие модели включены в облачном сервисе, и создали обратный прокси для LLM, позволявший им предоставлять доступ к моделям киберпреступникам.
Исследователи Sysdig выявили инструменты, использовавшиеся неизвестными субъектами угрозы, которые могли быть нацелены на широкий спектр облачных сервисов, включая AI21 Labs, Anthropic, AWS Bedrock, Azure, ElevenLabs, MakerSuite, Mistral, OpenAI, OpenRouter и GCP Vertex AI. Их технический анализ, представленный в процедурах ниже, рассматривал журналы Amazon CloudTrail из сервиса Amazon Bedrock.
По оценке исследователей Sysdig, в худшем случае финансовый ущерб от несанкционированного использования одной модели Claude 2.x мог достигать $46 000 в день.
Обновление по состоянию на апрель 2025 года: эта атака продолжается и развивается. Этот кейс охватывает только первоначальную публикацию Sysdig.
Процедура
- AML.TA0004 Первичный доступ
AML.T0049 Эксплуатация приложения, доступного из интернета
Злоумышленники воспользовались уязвимой версией Laravel (CVE-2021-3129), чтобы получить первичный доступ к системам жертв. - AML.TA0013 Доступ к учетным данным
AML.T0055 Незащищенные учетные данные
Злоумышленники нашли на системах жертв незащищенные учетные данные для доступа к облачным средам. - AML.TA0012 Повышение привилегий
AML.T0012 Действующие учетные записи
Скомпрометированные учетные данные дали злоумышленникам доступ к облачным средам, где были размещены сервисы больших языковых моделей (LLM). - AML.TA0003 Подготовка ресурсов
AML.T0016.001 Программные инструменты
Злоумышленники получили keychecker — инструмент массовой проверки ключей для различных ИИ-сервисов, который может проверять действительность ключа и получать отдельные атрибуты учетной записи, например баланс аккаунта и доступные модели. - AML.TA0008 Выявление
AML.T0075 Выявление облачных сервисов
Злоумышленники использовали keychecker, чтобы выяснить, какие LLM-сервисы включены в облачной среде и есть ли для этих сервисов квоты ресурсов.
Затем злоумышленники проверили, дают ли украденные учетные данные доступ к LLM-ресурсам. Они использовали легитимные запросы
invokeModelс недопустимым значением -1 для параметраmax_tokens_to_sample: если учетные данные не давали нужного доступа для вызова модели, такой запрос вызывал ошибкуAccessDenied. Проверка показала, что украденные учетные данные действительно предоставляли доступ к LLM-ресурсам.Злоумышленники также использовали
GetModelInvocationLoggingConfiguration, чтобы понять, как настроена модель. Это позволяло им определить, включено ли логирование промптов, и избегать обнаружения при выполнении промптов. - AML.TA0003 Подготовка ресурсов
AML.T0016.001 Программные инструменты
Затем злоумышленники использовали OAI Reverse Proxy, чтобы развернуть обратный прокси-сервис для украденных LLM-ресурсов. Этот прокси-сервис можно было использовать для продажи доступа киберпреступникам, которые могли эксплуатировать LLM в вредоносных целях. - AML.TA0011 Воздействие
AML.T0048.000 Финансовый ущерб
Помимо скрытого предоставления киберпреступникам доступа к LLM-ресурсам, несанкционированное использование этих LLM-моделей могло обходиться жертвам в тысячи долларов в день.