Veszélyben az adatok és az erőforrások
Az IronErn440 nevű támadó MI által generált, több-lépcsős payloadokat használ, hogy nyilvánosan elérhető Ray-infrastruktúrákat törjön fel. Tevékenysége jóval túlmutat a kriptobányászaton: adat- és jelszólopás, MI‑modellek és forráskódok eltulajdonítása, valamint DDoS‑támadások is szerepelnek az arzenáljában. A támadásokhoz egy 2023-as, máig javítatlan sérülékenységet (CVE-2023-48022) használ ki, amelyre azért nem készült folt, mert a Rayt eredetileg biztonságos, zárt hálózatokra tervezték. Ugyanakkor jelenleg már több mint 230 ezer Ray-szerver található az interneten, szemben a tavalyi néhány ezerrel.
MI generálta támadó kódok és automatizált terjedés
A támadások során LLM-ek (nagy nyelvi modellek) által generált Bash- és Python-szkriptek futnak le, amelyek minden elérhető csomópontot megfertőznek, majd önállóan terjednek tovább újabb klaszterek felé. A bányászmodul szintén MI által generált, és igyekszik a rendszeren észrevétlen maradni: álnév alatt fut, hamis fájlhelyeket használ, és kizárólag azokat a gépeket terheli, ahol legalább nyolcmagos processzor és rendszergazdai jogosultság elérhető. Monerót bányászik XMRig-gel, a processzor erejének legfeljebb 60%-át használja, hogy elfedje a tevékenységet.
Folyamatos frissítés és önvédelem
A fertőzött szervereken további önvédelmi lépések jelennek meg: minden konkurens bányászprogramot azonnal leállít, blokkolja más bányászpoolokat, és különféle trükkökkel gondoskodik a fennmaradásról (cron, systemd). Emellett Python-alapú reverse shellt nyit a támadónak, hogy valós időben hozzáférést biztosítson, adatokat lopjon vagy parancsokat hajtson végre, továbbá DDoS-támadásokat indítson a Sockstress eszközzel. Egy cronfeladat 15 percenként ellenőrzi a GitHubon, jelent-e meg új utasítás végrehajtásra.
Hogyan védekezhetünk?
Mivel a CVE-2023-48022 sérülékenységre továbbra sincs hivatalos frissítés, érdemes a Ray-klasztereket szigorú, zárt környezetben futtatni, tűzfalat és jogosultságkezelést alkalmazni, valamint folyamatos monitorozást rendelni hozzájuk. Az Anyscale részletes ajánlásokat fogalmazott meg; többek között a Ray Dashboard portjának (8265) védelmét és a szokatlan tevékenységek figyelését javasolja, hogy idejében észlelhessük a ShadowRay-fertőzést.
