Коротко: новая волна атак под именем ShadowRay 2.0 эксплуатирует уязвимость в платформе Ray и превращает скомпрометированные кластеры в самораспространяющийся botnet. Злоумышленники используют возможности orchestration Ray и инструменты на Python, включая элементы искусственного интеллекта, чтобы оптимизировать добычу криптовалют и закрепиться в средах с рабочими нагрузками AI.
Что произошло
Кампания нацелена на открытую платформу Ray и использует уязвимость CVE-2023-48022, которая позволяет злоумышленникам выполнить удалённый код без аутентификации через Ray’s Jobs API. Через незащищённые API-интерфейсы атакующие размещают задания (jobs), получая первоначальный доступ и разворачивая вредоносные скрипты, которые затем преобразуют кластер в средство дальнейшей атаки и майнинга.
Механика атаки
- Предварительная разведка: поиск доступных экземпляров Ray с открытыми интерфейсами Jobs API.
- Размещение задач: отправка вредоносных jobs через неаутентифицированный API для выполнения команд на узлах.
- Двухэтапные и многоэтапные payload’ы: от простого сбора системной информации до сложной постэксплуатации и закрепления.
- Оркестрация на уровне кластера: распространение вредоносного ПО на каждый операционный узел через возможности Ray.
- Установка обратных оболочек и механик закрепления (например, задания cron) для постоянного удалённого доступа.
- Маскировка процессов: майнинг и другие вредоносные операции скрываются под видом обычных системных процессов.
- Целевое использование GPU-ресурсов, в частности NVIDIA A100s, для майнинга и повышения эффективности добычи.
- Методы устранения конкуренции: поиск и уничтожение процессов других майнеров на инфрастуктуре жертвы.
- Самораспространение: скомпрометированные кластеры используются для поиска и компрометации новых кластеров.
Особенности применения искусственного интеллекта
В кампании злоумышленники не только атакуют системы, предназначенные для AI, но и сами используют элементы AI и скрипты на Python для оптимизации распределения вычислительных ресурсов и повышения прибыльности операций (например, майнинга). Это делает угрозу более адаптивной и эффективной по сравнению с традиционными массовыми скрипт-атаками.
«ShadowRay 2.0 демонстрирует, как уязвимости в инфраструктуре AI могут быть использованы не только для кражи данных, но и для превращения вычислительных кластеров в автономные инструменты преступной деятельности», — итоговая оценка кампании.
Глобальный масштаб и адаптация тактики
Атаки масштабируются за счёт самораспространяющейся модели и демонстрируют высокую OPSEC: злоумышленники адаптируют тактику в зависимости от географического и инфраструктурного контекста жертвы, оптимизируя профиль внедрения и маскировки под локальные особенности.
Риски и последствия
- Экономический ущерб: несанкционированный майнинг используется для извлечения прибыли за счёт ресурсов жертвы.
- Потеря конфиденциальных данных: кража учетных данных баз данных и других секретов для последующего использования.
- Использование инфраструктуры жертвы в качестве плацдарма для DDoS-атак и других вредоносных операций.
- Нарушение рабочих нагрузок AI: производительность и целостность моделей и данных могут быть скомпрометированы.
Рекомендации по защите
Организациям, использующим Ray и другие AI-платформы, следует немедленно оценить и применить следующие меры:
- Закрыть и защитить Ray’s Jobs API: обеспечить надёжную аутентификацию и авторизацию на всех публичных и приватных интерфейсах.
- Патчинг: установить все обновления и фикс для CVE-2023-48022 и смежных уязвимостей.
- Сеть и сегментация: использовать брандмауэры и сетевую сегментацию, чтобы ограничить доступ к кластерам Ray только доверенным источникам.
- Мониторинг и логирование: настроить агрегированное логирование, мониторинг аномалий и детекцию подозрительных jobs/процессов.
- Ограничение прав: применять принцип наименьших привилегий для сервисных аккаунтов и рабочих нагрузок.
- Защита GPU-инфраструктуры: ограничить доступ к узлам с GPU, мониторить использование GPU-ресурсов и аномалии в нагрузке (например, внезапный рост загрузки NVIDIA A100s).
- Инвентаризация и проверка: регулярно сканировать сеть на наличие открытых/незащищённых интерфейсов Ray и других сервисов.
- Организация реагирования: подготовить playbook для инцидентов, включающий изоляцию узлов, ротацию учетных данных и форензик-сбор данных.
Вывод
Кампания ShadowRay 2.0 наглядно демонстрирует, что по мере широкого внедрения AI-инфраструктуры растёт и её привлекательность для злоумышленников. Уязвимости в платформах управления вычислениями, таких как Ray, представляют значительный риск: они позволяют получить контроль над ресурсами, похищать данные и организовать масштабные злоупотребления. Сейчас критически важно пересмотреть безопасность рабочих нагрузок AI — от конфигураций API до сетевой защиты и оперативного мониторинга — чтобы не дать злоумышленникам превратить вашу инфраструктуру в инструмент своих атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "ShadowRay 2.0: атаки на Ray и инфраструктуру ИИ через CVE-2023-48022".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.