Злоумышленники взломали облачную среду AWS менее чем за 8 минут, используя кражу учетных данных, повышение привилегий, боковое перемещение и злоупотребление ресурсами GPU с помощью LLM. Атака, ускоренная ИИ, сократила жизненный цикл облачных вторжений до минут.
Злоумышленники взломали среду Amazon Web Services менее чем за восемь минут, используя кражу учетных данных, повышение привилегий, боковое перемещение и злоупотребление ресурсами GPU с помощью больших языковых моделей. Атака была настолько быстрой, что у защитников практически не было времени на реакцию.
Согласно новым данным исследовательской группы Sysdig, злоумышленники превратили одни только скомпрометированные учетные данные в общедоступном S3-бакете в полный административный контроль, демонстрируя, как автоматизация с помощью ИИ сократила жизненный цикл облачных атак с часов до нескольких минут.
Операция, зафиксированная в ноябре 2025 года, как сообщается, объединила облачную неправильную конфигурацию с большими языковыми моделями (LLM) для сжатия всего жизненного цикла атаки.
«Мир кибербезопасности сегодня совершенно новый», — сказал Рам Варадараджан, генеральный директор Acalvio. «В этой угрожающей среде организации должны признать, что скорость взлома сместилась с дней на минуты. Автономные злоумышленники теперь могут перейти от первоначального доступа к полному административному контролю за считанные минуты». По его словам, защита от этого класса атак требует «технологий, ориентированных на ИИ», которые могут анализировать и реагировать с той же скоростью, что и автоматизированные злоумышленники.
От общедоступных бакетов до повышения привилегий за минуты
Компрометация началась с действительных учетных данных AWS, оставленных в общедоступных S3-бакетах. Эти бакеты содержали данные, связанные с ИИ, а связанный с ними IAM-пользователь имел разрешения на взаимодействие с Lambda и ограниченный доступ к Amazon Bedrock. «Этот пользователь, вероятно, был намеренно создан организацией-жертвой для автоматизации задач Bedrock с помощью функций Lambda во всей среде», — заявили исследователи Sysdig в своем блоге, опубликованном CSO перед публикацией во вторник.
Имея доступ на чтение ко всей среде, злоумышленник быстро перечислил сервисы AWS, затем повысил привилегии, изменив существующую функцию Lambda. Внедряя вредоносный код в функцию, которая уже имела чрезмерно разрешительную роль выполнения, злоумышленник смог создать новые ключи доступа для административного пользователя и получить их непосредственно из выходных данных выполнения Lambda.
Джейсон Сороко, старший научный сотрудник Sectigo, заявил, что первопричина была удручающе знакомой. «Мы должны смотреть за пределы новизны помощи ИИ, чтобы распознать обычную ошибку, которая ее позволила», — сказал он. «Вся компрометация началась потому, что жертва оставила действительные учетные данные в общедоступных S3-бакетах. Эта неудача представляет собой упорное нежелание освоить основы безопасности».
Код Lambda показал признаки генерации LLM, включая комплексную обработку исключений, итеративную логику нацеливания и даже комментарии не на английском языке.
Боковое перемещение, LLMjacking и злоупотребление GPU
После получения административного доступа злоумышленник переместился по 19 различным принципалам AWS, принимая на себя различные роли и создавая новых пользователей для распространения активности между различными идентификаторами. По мнению исследователей, такой подход обеспечил устойчивость и усложнил обнаружение.
Затем злоумышленники переключили внимание на Amazon Bedrock, перечислив доступные модели и подтвердив, что ведение журнала вызовов моделей отключено. Исследователи заявили, что было вызвано несколько базовых моделей, что соответствует шаблону «LLMjacking».
Затем операция переросла в злоупотребление ресурсами. Подготовив ключи и группы безопасности, злоумышленники попытались запустить высокопроизводительные GPU-инстансы для рабочих нагрузок машинного обучения. Хотя большинство мощных инстансов не удалось запустить из-за ограничений по мощности, в конечном итоге был запущен дорогостоящий GPU-инстанс со скриптами для установки CUDA, развертывания фреймворков обучения и предоставления общедоступного интерфейса JupyterLab.
Некоторые из кодов содержали ссылки на несуществующие репозитории и ресурсы, что исследователи Sysdig отнесли к галлюцинациям LLM.
Эксперты утверждают, что самое тревожное — не то, что ИИ представил новую технику атаки. А то, что ИИ устранил колебания. «Если свести эту атаку к сути, то выделяется не прорывная техника», — сказал Шейн Барни, CISO в Keeper Security. «А то, насколько незначительное сопротивление оказала среда, как только злоумышленник получил законный доступ». Он предупредил, что ИИ сводит разведку, тестирование привилегий и боковое перемещение в «единую быструю последовательность», устраняя буферное время, на которое исторически полагались защитники.
Чтобы снизить риски, исследователи Sysdig рекомендовали обеспечить соблюдение принципа наименьших привилегий для IAM-пользователей, ролей и ролей выполнения Lambda, строго ограничивая разрешения, такие как «UpdateFunctionCode» и «PassRole», и гарантируя, что конфиденциальные S3-бакеты никогда не будут общедоступными. Они также добавили, что критически важно включить версионирование Lambda, включить ведение журнала вызовов моделей Amazon Bedrock и отслеживать масштабную активность перечисления.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma