В интервью изданию CyberScoop в понедельник старший директор по исследованиям угроз компании Sysdig Майкл Кларк пояснил, что человек все же был активно вовлечен — просто не в техническую реализацию. «Человек по-прежнему настраивал и направлял операцию, разворачивал стоящую за ней инфраструктуру, сервер управления и контроля, промежуточный сервер для хранения украденных данных и выбирал жертву», — заявил Кларк. Он добавил, что учетные данные, использованные для взлома базы данных жертвы, не были добыты самим ИИ-агентом; кто-то получил их отдельно, в ходе предыдущей компрометации, и передал в распоряжение операции. Это не противоречит первоначальному заявлению Sysdig, а технические детали атаки сами по себе остаются примечательными и даже дикими. Агент проник в систему через известную ошибку в Langflow, популярном инструменте с открытым исходным кодом для создания приложений на базе больших языковых моделей, затем перешел на рабочий сервер MySQL и использовал другую известную уязвимость для получения прав администратора.

В ходе атаки агент зашифровал более 1300 записей конфигурации и оставил не только самостоятельно написанную записку с требованием выкупа, но и биткоин-адрес для его отправки. Sysdig не раскрывает личность пострадавшей стороны. По всей видимости, применявшиеся техники были довольно заурядными, однако по-настоящему выделялись скорость и прозрачность операции: агент исправил неудачную попытку входа в систему за 31 секунду, попутно описывая собственные рассуждения в комментариях к коду на естественном языке. Одна деталь, изначально смазывавшая общую картину, впоследствии была прояснена. Ранее Кларк сообщил CyberScoop, что, по данным Sysdig, «в атаке использовались несколько моделей», сославшись на обнаруженные ключи к OpenAI, Anthropic, DeepSeek и Gemini — такая формулировка оставляла открытым вопрос, действительно ли несколько моделей управляли разными стадиями вторжения.

В ответ на просьбу внести ясность Кларк в электронном письме TechCrunch пояснил: эти ключи были просто частью добычи агента, а не свидетельством того, что им управляло. «Агент прочесал хост Langflow на предмет всего ценного — API-ключей провайдеров, облачных учетных данных, криптовалютных кошельков и конфигураций баз данных, — и эти ключи провайдеров были частью добычи. Они показывают, что именно злоумышленник считал ценным для кражи, но ничего не говорят о том, какая модель принимала решения», — написал он. Относительно того, какая модель в действительности управляла операцией, названной JadePuffer, Кларк сообщил, что Sysdig «не удалось идентифицировать конкретную модель, управлявшую агентом», и у компании нет информации о её системном промпте или конфигурации.

В этом свете стоит вновь обратиться к теории исследователя Microsoft Джеффа Макдональда, выдвинутой несколько дней назад в LinkedIn. Основываясь на собственном опыте Red Teaming, показывающем, что защитные слои передовых моделей работают хорошо, Макдональд предположил, что за атакой стояла не фронтирная модель, а модель с открытыми весами, с которой были сняты ограничения безопасности. Отчет Sysdig не подтверждает, но и не опровергает эту версию. В публикации Макдональда также содержалось предупреждение о том, что кампании вымогателей теперь ограничены в основном бюджетом атакующего, а не человеческими усилиями, что делает возможными «тысячи или десятки тысяч одновременных кампаний». Это опасение несколько труднее увязать с тем, что описал Кларк в понедельник (если человеку по-прежнему нужно выбирать каждую жертву, разворачивать инфраструктуру и добывать учетные данные для каждой операции, это, по крайней мере, создает определенное узкое место). Так или иначе, как заявил Кларк в интервью CyberScoop, пока Sysdig не наблюдала нападений той же операции на другие цели, но, учитывая дешевизну запуска агента, он ожидает, что ситуация изменится.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *