Kritikus sebezhetőség, amely évek óta javítatlan
A támadások a Ray nevű, MI-feladatokra optimalizált, elosztott számításokat lehetővé tevő rendszert érintik. Az Amazon, az Apple és az OpenAI is széles körben alkalmazza a Rayt. Az Oligo Security kutatói szerint a kampány 2024 szeptembere óta zajlik, de maga a kihasznált hiba már 2023 végén is aktív volt – akkor 9,8-as CVSS értékelést kapott, vagyis rendkívül súlyos. A sebezhetőség az engedély nélkül is elérhető Ray dashboard API-t érinti, amelyen keresztül távoli kódfuttatás válik lehetővé.
Különösen aggasztó, hogy a sebezhetőség máig javítatlan. Az Anyscale, a Ray fejlesztője arra hivatkozott, hogy a platformot felügyelt, zárt hálózaton belülre szánták, így szerintük a hiba nem releváns. Októberben a Ray fenntartását átadták a Linux Foundationhöz tartozó PyTorch Foundationnek, azonban ők sem javították a hibát.
Visszaélnek az MI platform belső funkcióival
Az IronErn440 nevű támadócsoport a Ray teljesen legális szervezési és ütemezési funkcióit alakította át önreplikáló, világszintű kriptovaluta-bányász botnetté. Ezek a botnetek önállóan terjednek a rosszul védett Ray-klasztereken belül. A támadók elsősorban nagy, költséges GPU-s környezeteket vesznek célba – világszerte több mint 230 ezer, az internet felé nyitott Ray-klaszter létezik, így rengeteg szervezet van veszélyben.
A helyzet drámaian romlott, mert a támadók minden manuálisan vizsgált Ray-szervert fertőztek, iparág- és országhatárokat átlépve: Amerikától Kínáig valamennyi érintett szektorban jelen vannak.
Belső terjesztés, komoly adatvesztéssel
A támadók nemcsak kriptovalutát bányásznak az erőforrásokon, hanem képesek továbbterjedni a belső hálózatokon, fertőzve a nem nyilvános csomópontokat is. Ezeket aztán DDoS-támadások kiindulópontjaként használják, emellett több esetben sikerült hozzáférniük bizalmas MI-modellekhez, adattárakhoz, forráskódokhoz, felhő- és adatbázis-jelszavakhoz, valamint felhasználói adatokhoz is.
Az eredetileg a GitLabnál hosztolt kártevő a támadásaiban regionális alkalmazkodásra is képes – észleli, mely országban fut a célpont, és ehhez igazítja a támadás jellemzőit. Az érintett fiókokat a GitLab gyorsan törölte, ám a támadók azonnal átvonultak a GitHubra, ahol újabb fiókokat hoztak létre, így a kampány tovább folytatódott.
Egyszerű, de hatékony támadási módszertan
Azonosításra először nyílt forráskódú sérülékenységvizsgáló eszközt alkalmaztak, majd kiválasztották a támadható szervereket. Nem volt szükség bonyolult exploitok kidolgozására, a Ray kialakítása ugyanis megbízható belső környezet feltételezésével szinte teljesen nyitott: a támadók az API-kat a gyári dokumentáció szerint használták, jelszó vagy hitelesítés nélkül.
Az egyik kártevő például felderíti, mely csomópontok érhetők el, és mindegyiken Python-alapú kódként fut le, a rendes alkalmazásokhoz hasonlóan. Ezután többlépcsős Python-kóddal felméri a CPU- és GPU-kapacitásokat, és csak a teljesítmény 60%-át terheli, hogy észrevétlen maradjon. Szakértők szerint a kártevő kódját MI generálta, legalábbis a kód stílusa, hibakezelése és kommentjei erre utalnak.
Milliós károkat okozhatnak – nincs megoldás
A támadók AWS-alapú C&C-szervereket használtak, extra redundanciát építettek ki, de ez több üzemeltető jelenlétére is utalhat. A GitHubra áttérés után olyan klasztereket is találtak, amelyeken több ezer gép dolgozott a támadók számára, évente 4 millió dollár (kb. 1,4 milliárd forint) értékű gépidőt használva fel. Egyes szervereken 240 GB céges forráskód, MI-modellek és adattárak váltak szabadon letölthetővé az interneten.
Feltételezhető, hogy az egész kampány teljesen automatizált, mert a támadók szinte azonnal visszatérnek minden letiltás után – így nincs könnyű védekezés. A Ray-klaszterek védelme és megfelelő, csak belső hálózatra történő korlátozása sosem volt ennyire időszerű.
