KI-basierter Angriff führt in wenigen Minuten zu Adminrechten

(Source: belekekin / stock.adobe.com)

(Source: belekekin / stock.adobe.com)

Ein Cyberkrimineller hat es mithilfe von GenAI geschafft, in weniger als zehn Minuten in eine Cloud-Umgebung einzudringen. Diese Blitzintrusion in einem Konto bei Amazon Web Services (AWS) entdeckte das Threat Research Team (TRT) von Sysdig. Der Angreifer benötigte nur acht Minuten, um vom ersten Zugriff zu Administratorrechten zu gelangen, wie es in der Mitteilung heisst. Der Angriff erfolgte, nachdem er offengelegte Zugangsdaten in öffentlichen Amazon-S3-Buckets entdeckte, die unter anderem Daten für Retrieval-Augmented Generation (RAG) für KI-Modelle enthielten.

Laut Sysdig gehörten die kompromittierten Zugangsdaten zu einem IAM(Identity & Access Management)-Benutzer, der Lese- und Schreibrechte auf AWS Lambda sowie eingeschränkte Berechtigungen für Amazon Bedrock besass. Dieses Konto könnte das betroffene Unternehmen erstellt haben, um Bedrock-Aufgaben über Lambda-Funktionen zu automatisieren. Die angegriffenen Buckets verwendeten typische Namenskonventionen von KI-Tools, nach denen der Angreifer in einer ersten Phase offenbar gezielt gesucht hatte.

Zugriffsübernahme durch Code-Injection in Lambda-Funktion

Da der IAM-Benutzer über die Richtlinie "ReadOnlyAccess" verfügte, erkundete der Hacker die umfangreichen AWS-Ressourcen, darunter den Secrets Manager, SSM, S3, Lambda, EC2, ECS, RDS, CloudWatch, KMS sowie Organizations. Er untersuchte zudem KI-Dienste wie Bedrock, OpenSearch Serverless und SageMaker, indem er Modelle, Wissensdatenbanken und Inferenzprofile auflistete. Eine solch umfangreiche Auflistung durch einen IAM-Benutzer sollte laut der Mitteilung als verdächtig eingestuft und somit besser überwacht werden.

Nach mehreren Versuchen gelang es dem Angreifer, einen Zugriffsschlüssel für einen Administratorbenutzer zu erstellen. Der injizierte Code listete IAM-Benutzer, deren Schlüssel und zugehörige Richtlinien auf und generierte anschliessend einen neuen Schlüssel für das Zielkonto. Laut TRT waren insgesamt 19 verschiedene AWS-Identitäten (Benutzer und Rollen) beteiligt. Einige Versuche richteten sich gegen nicht existierende Konten - ein Verhalten, das Sysdig mit KI-generierten Halluzinationen verbindet.

Hochleistungsfähige und kostspielige GPU-Instanzen

Nachdem der Angreifer sich vergewissert hatte, dass die Protokollierung deaktiviert war, rief er mehrere KI-Modelle auf. Darunter waren Claude, Llama und Titan. Schliesslich versuchte er, EC2-GPU-Instanzen vom Typ p5 und anschliessend p4d zu starten, die mit rund 32 US-Dollar pro Stunde zu Buche schlagen. Ein Initialisierungsskript startete CUDA, PyTorch und JupyterLab. Hinweise auf nicht existierende GitHub-Repositories deuten laut dem Cloud-Security-Anbieter auch hier auf eine automatisierte Generierung hin. 

Für das Threat Research Team verdeutlicht diese Operation die zunehmende Automatisierung von Angriffen auf Cloud-Umgebungen. Das Team empfiehlt unter anderem, das Least-Privilege-Prinzip strikt anzuwenden, die Bedrock-Protokollierung zu aktivieren und nicht autorisierte Instanztypen mithilfe von Service Control Policies zu blockieren.

Das könnte Sie auch interessieren: In einem gemeinsamen Webinar zeigten Netzmedien, Okta und iC Consult, warum ein Identity & Access Management nicht mehr ausreichend ist und wie Unternehmen ihre Sicherheitslage mithilfe von Identity Security Posture Management (ISPM) verbessern können. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.