Una nuova tecnica di attacco informatico, che è stata denominata LLMjacking, dal Team di Ricerca sulle Minacce di Sysdig è apparsa di recente sul web.
Per farla breve, i ricercatori di sicurezza informatica hanno scoperto un nuovo tipo di attacco che utilizza credenziali cloud rubate per mirare a servizi di modelli di linguaggio di grandi dimensioni (LLM, Large Language Model, da cui il nome LLMjacking) ospitati su cloud; in sintesi dei criminali informatici “sparano” questo nuovo attacco, con l’obiettivo di vendere l’accesso ad altri criminali informatici.
Dettagli del nuovo attacco LLMjacking: parola ai ricercatori di sicurezza informatica
“Dopo aver ottenuto l’accesso iniziale, hanno esfiltrato le credenziali cloud e ottenuto l’accesso all’ambiente cloud, dove hanno cercato di accedere ai modelli LLM locali ospitati dai fornitori cloud“, ha detto il ricercatore di sicurezza Alessandro Brucato, riguardo l’attacco LLMjacking. “In questo caso, è stato preso di mira un modello LLM Claude locale (v2/v3) di Anthropic“.
Il percorso di intrusione utilizzato per portare a termine lo schema comporta la violazione di un sistema che esegue una versione vulnerabile del Framework Laravel (per fare un esempio la vunlerabilità CVE-2021-3129), seguita dall’ottenimento delle credenziali Amazon Web Services (AWS) per accedere ai servizi LLM.
L’attacco LLMjacking e modelli Python open-source
Tra gli strumenti utilizzati c’è uno script Python open-source che controlla e convalida le chiavi per varie offerte relative agli LLM (volgarmente detti “intelligenza artificiale“) Anthropic, AWS Bedrock, Google Cloud Vertex AI, Mistral e OpenAI, tra gli altri.
“Nessuna query LLM legittima è stata effettivamente eseguita durante la fase di verifica“, ha spiegato il ricercatore Alessandro Brucato, sempre riguardo l’attacco LLMjacking. “Invece, è stato fatto solo quanto necessario per capire cosa potessero fare le credenziali e quali fossero i limiti“.
Il keychecker ha anche integrazione con un altro strumento open-source chiamato oai-reverse-proxy che funge da server proxy inverso per le API LLM, indicando che probabilmente i criminali informatici stanno fornendo accesso agli account compromessi senza esporre effettivamente le credenziali sottostanti; un dirottamente sostanzialmente, da qui il nome “LLMjacking“.
“Se gli attaccanti stavano raccogliendo un inventario di credenziali utili e volevano vendere l’accesso ai modelli LLM disponibili, un proxy inverso come questo potrebbe consentire loro di monetizzare i loro sforzi“, ha detto Brucato.
Ma con questo attacco è possibile anche “manipolare” varie cose, usando prompt particolari
Inoltre, gli attaccanti sono stati osservati interrogare le impostazioni di logging in un probabile tentativo di evitare la rilevazione quando utilizzano le credenziali compromesse per eseguire i loro prompt.
Lo sviluppo rappresenta una deviazione dagli attacchi che si concentrano sull’iniezione di prompt e sull’avvelenamento del modello, consentendo invece agli attaccanti di monetizzare il loro accesso ai LLM mentre il proprietario dell’account cloud paga il conto senza la sua conoscenza o consenso.
Un attacco molto redditizio
Sysdig ha dichiarato che un attacco di questo tipo potrebbe accumulare oltre $46.000 al giorno in costi di consumo LLM per la vittima, come detto prima è questo di fatto il “dirottamento”, non solo di dati personali, anche di wallet, cioè portafogli che hanno dentro soldi, sebbene in questo specifico caso non siano necessariamente criptovalute, ma soldi “veri”.
“L’uso dei servizi LLM può essere costoso, a seconda del modello e della quantità di token che gli vengono forniti“, ha detto il ricercatore Alessandro Brucato. “Massimizzando i limiti di quota, gli attaccanti possono anche bloccare l’organizzazione compromessa dall’utilizzare i modelli legittimamente, interrompendo le operazioni aziendali“.
Si consiglia alle organizzazioni di abilitare un logging dettagliato e monitorare i log cloud per attività sospette o non autorizzate, nonché assicurarsi che siano in atto processi efficaci di gestione delle vulnerabilità per prevenire l’accesso iniziale.
