L’intrusion fait suite à un modèle d’attaque cloud familier, mais les experts affirment que la plus grande préoccupation est que les passerelles IA servent de plus en plus de centres centraux pour les identités, les autorisations et l’accès aux modèles.
Une intrusion dans le cloud qui s’est terminée par le déploiement de logiciels malveillants de cryptominage a exposé un risque plus important pour les entreprises : des passerelles d’IA qui concentrent l’accès aux identités, aux autorisations et aux modèles de base du cloud dans un système unique hautement privilégié.
Des chercheurs de la société de cybersécurité Darktrace ont découvert que des attaquants compromettaient une instance AWS EC2 agissant comme un proxy LiteLLM pour Amazon Bedrock, déployant finalement un logiciel malveillant de cryptominage XMRig, ainsi que des tentatives d’abus des identités cloud et des services d’IA.
Bien que l’attaque se soit terminée par du cryptomining, les chercheurs ont déclaré que la plus grande préoccupation est que les passerelles d’IA centralisent l’accès aux modèles, les identités et les privilèges du cloud, ce qui en fait des cibles précieuses.
Les experts ont trouvé l’attaque familière et cohérente avec les techniques d’attaque cloud antérieures.
« Supprimez la marque IA et voici un modèle d’intrusion dans le cloud que nous surveillons depuis au moins 2018 : SSH ouvert à Internet, tentatives de force brute, mineur XMRig de base et connexions répétées à un pool minier », a déclaré Sean Malone, RSSI chez BeyondTrust. « Même l’angle spécifique à l’IA, les informations d’identification volées sondant l’accès au modèle Bedrock, porte un nom depuis 2024 : LLMjacking. »
Cependant, Malone était d’accord avec les chercheurs de Darktrace sur le rayon potentiel de l’explosion. « Les passerelles IA concentrent les informations d’identification, les autorisations cloud et l’accès aux modèles en un seul point d’étranglement, de sorte qu’une intrusion de routine atterrit sur un actif privilégié », a-t-il expliqué.
L’attaque a suivi un schéma connu
Selon Darktrace, l’instance EC2 compromise semblait prendre en charge l’activité LiteLLM et était associée à un rôle IAM capable d’accéder aux ressources Amazon Bedrock. Bien que les chercheurs n’aient pas pu déterminer de manière concluante le vecteur d’accès initial, ils ont déclaré que l’attaque suivait une séquence couramment observée dans les intrusions dans le cloud.
Avant le déploiement du mineur, l’instance avait SSH exposé à Internet, avec le port 22 accessible de n’importe où. Darktrace a observé un volume élevé de tentatives de connexion SSH entrantes, provenant en grande partie d’une seule adresse IP externe, indiquant une probable activité de force brute.
Peu de temps après, l’hôte a téléchargé une archive ZIP contenant le logiciel malveillant de cryptominage XMRig avant de se connecter à plusieurs reprises à un pool de minage connu via HTTPS.
Darktrace a souligné qu’il ne pouvait pas confirmer si l’activité SSH avait directement conduit à la compromission car les journaux au niveau de l’hôte n’étaient pas disponibles. Cependant, le moment de l’exposition SSH, du téléchargement du mineur et des communications ultérieures du pool de minage suggérait fortement que l’instance EC2 avait été compromise et réutilisée pour une activité de calcul non autorisée.
Les passerelles IA compromises sont un gros problème
La divulgation détaille également les activités IAM suspectes observées séparément, un jour plus tard, par une autre identité AWS. Parmi les actions inhabituelles figuraient un appel d’API « GetSendQuota » à partir d’une adresse IP au Vietnam, des tentatives d’énumération et d’invocation de modèles de fondation Amazon Bedrock et une tentative de création d’un nouvel utilisateur IAM à l’aide d’un nom d’utilisateur généré aléatoirement.
Ce comportement est généralement associé à l’établissement de la persistance suite à une compromission des informations d’identification. Cependant, Darktrace n’a pas pu relier directement l’activité IAM à l’incident LiteLLM.
Jason Soroko, chercheur principal chez Sectigo, a déclaré que l’importance de l’incident réside moins dans le cryptomineur que dans le système qui a été compromis.
« Ces passerelles deviennent des courtiers en matière d’identité, d’accès aux modèles, d’invites, de journaux et de politiques », a-t-il noté. « Lorsqu’une instance est exposée via SSH ou soutenue par des autorisations IAM étendues, il ne s’agit plus d’une simple instance EC2. C’est un point de contrôle pour les opérations d’IA. »
Pour se protéger contre de telles attaques, a ajouté Soroko, les équipes de sécurité doivent fermer les chemins d’administration publics, supprimer les clés à long terme lorsque cela est possible, définir les autorisations IAM, surveiller Bedrock et modéliser les modèles d’accès, et corréler la télémétrie de la charge de travail avec les événements du plan de contrôle.



