Darktrace trouve une passerelle IA avec un accès Amazon Bedrock détourné pour le cryptomining

Des chercheurs de la société de cybersécurité basée au Royaume-Uni Darktrace Holdings Ltd. ont détaillé aujourd'hui une intrusion dans le cloud dans laquelle une passerelle d'intelligence artificielle compromise liée à Amazon Bedrock d'Amazon Web Services Inc. a été détournée pour extraire de la crypto-monnaie.

Le système compromis était une instance Amazon Elastic Compute Cloud nommée « LiteLLM-Proxy » qui exécutait le logiciel open source LiteLLM et contenait un profil d'instance avec accès à Amazon Bedrock. En d’autres termes, il fonctionnait comme une passerelle vers les modèles d’IA hébergés tout en détenant des autorisations cloud privilégiées.

C’est cette combinaison qui mérite l’attention : l’abus lui-même était ordinaire, mais il a touché un actif situé à la jonction de l’infrastructure cloud, des services d’identité et d’IA.

Darktrace a observé une activité compatible avec le cryptomining actif de l'instance le 12 juin. Ses services de surveillance améliorée et de détection gérée des menaces ont capturé le trafic et le centre des opérations de sécurité de l'entreprise l'a transmis au client. L'instance a été arrêtée.

L’intrusion faisait suite à un manuel de jeu cloud familier. L'instance avait SSH exposé à l'ensemble d'Internet sur le port 22 et Darktrace a enregistré un volume important de tentatives de connexion entrantes de courte durée à partir d'adresses externes suggérant une activité de force brute. Rien de tout cela n’a prouvé qu’une connexion avait réussi. Darktrace n'a pas pu nommer SSH comme point d'entrée, mais seulement comme étant plausible.

Puis vint la charge utile. L'instance a extrait 3,42 Mo via HTTP à partir d'un point de terminaison externe qui semblait héberger une archive ZIP contenant XMRig, un mineur Monero de base. Darktrace ne disposait pas de journaux au niveau de l'hôte, il ne pouvait donc pas confirmer le fonctionnement du mineur. Ce qu’il pouvait voir, c’était le timing.

Quelques minutes plus tard, l'instance a ouvert une connexion à un pool de minage via HTTPS sur le port 443, puis une autre, puis a continué. Darktrace a lu la répétition comme un hôte compromis prenant du travail et renvoyant les résultats.

Le port 443 est l'endroit où se cache ce trafic. Chiffrée, fonctionnant sur le port utilisé par chaque serveur Web, une seule connexion ne signifie rien en soi. Ce qui l'a exposé, c'est la destination, le volume des connexions et l'absence de quelque chose de similaire ailleurs dans l'environnement.

Des recherches récentes ont mis en évidence les passerelles d'IA telles que LiteLLM comme des cibles attrayantes car elles centralisent les informations d'identification, l'accès aux modèles et les autorisations cloud. Darktrace a déclaré n'avoir trouvé aucune preuve reliant l'incident aux vulnérabilités LiteLLM révélées publiquement.

Un jour plus tard, le 13 juin, Darktrace a signalé un comportement suspect distinct de la part d'un autre utilisateur de gestion des identités et des accès. Le compte a tenté un appel « GetSendQuota » qu’il n’avait pas effectué depuis au moins trois mois. Il est venu via l'interface de ligne de commande AWS à partir d'une adresse IP géolocalisée au Vietnam. L'activité de l'utilisateur provenait auparavant principalement d'adresses Amazon.

Le même compte, fonctionnant via une clé d'accès à long terme, a généré des appels « InvokeModel » et « ListFoundationModels » ayant échoué, signe d'une tentative d'énumération d'Amazon Bedrock. Une tentative « CreateUser » a suivi, qui, selon Darktrace, pourrait indiquer une tentative d'établir la persistance. Darktrace n’a pas réussi à relier les deux incidents. La preuve n’était pas là.

La leçon que Darktrace en tire est que l’infrastructure d’IA ne doit pas être considérée comme sa propre pile technologique. Il fonctionne dans le cloud, il détient les informations d'identification du cloud et échoue de la même manière que les actifs cloud ont toujours échoué. Aucune alerte sur cette instance EC2 ne raconte toute l’histoire. L'assembler signifiait surveiller la charge de travail et le plan de contrôle en même temps.

Sean Malone, responsable de la sécurité de l'information chez le fournisseur de sécurité d'identité BeyondTrust Corp., a déclaré que l'incident est un modèle de cloud de longue date portant une nouvelle image de marque. « Supprimez la marque IA et voici un modèle d'intrusion dans le cloud que nous surveillons depuis au moins 2018 : SSH ouvert à Internet, tentatives de force brute, un mineur XMRig de base et des connexions répétées à un pool minier », a déclaré Malone à SiliconANGLE par e-mail. « La compromission de la passerelle est importante pour une raison : le rayon d'explosion. Les passerelles IA concentrent les informations d'identification, les autorisations cloud et l'accès au modèle en un seul point d'étranglement, de sorte qu'une intrusion de routine atterrit sur un actif privilégié. »

Jason Soroko, chercheur principal chez Sectigo Ltd., fournisseur de gestion du cycle de vie des certificats, a déclaré que l'actif est l'histoire, pas la charge utile. « Un proxy LiteLLM lié à Amazon Bedrock a transformé une compromission habituelle du cloud en un avertissement concernant l'infrastructure de l'IA », a déclaré Soroko.

Les passerelles de ce type négocient l'identité, l'accès aux modèles, les invites, les journaux et les politiques, a-t-il ajouté. Une fois exposé via SSH ou soutenu par de larges autorisations IAM, a-t-il déclaré, « il ne s'agit plus simplement d'une autre instance EC2. C'est un point de contrôle pour les opérations d'IA ».

Newsletter

Rejoignez notre newsletter pour des astuces chaque semaine