В конце ноября 2025 года злоумышленник получил административный доступ к облачной среде Amazon Web Services (AWS) менее чем за десять минут и доказал, что искусственный интеллект стал мощным усилителем атак.
Исследователи из команды Sysdig Threat Research Team опубликовали отчёт о случае, когда атака началась с найденных в открытом доступе учётных данных из публичных бакетов S3, а затем быстро переросла в полный контроль над аккаунтом AWS с правами администратора. Всё происходило намного быстрее, чем традиционные атаки: злоумышленник значительно ускорил каждый шаг, используя возможности современных больших языковых моделей (LLM).
Как произошёл взлом
Атака началась с случайно обнаруженных в публичных хранилищах S3 ключей доступа. Такие ключи это сочетание идентификаторов и секретных паролей, которые позволяют API-вызовам обращаться к ресурсам AWS. Эксперты отмечают, что оставлять ключи в общедоступных бакетах это критическая ошибка, которая фактически открывает ворота для любого, кто умеет искать.
Кроме того, бакеты были названы по шаблонам, часто используемым для проектов с ИИ-инструментами. Это облегчило злоумышленнику задачу: он целенаправленно искал именно такие шаблоны при разведке.
Искусственный интеллект на службе злоумышленника
Изначально полученные права давали только ReadOnlyAccess, т.е. доступ только для чтения. Но это не остановило злоумышленника: он воспользовался функциональностью AWS Lambda чтобы модифицировать существующую функцию EC2-init.
Путём тройной итерации злоумышленник подменил код Lambda-функции, постепенно увеличив свои привилегии до уровня пользователя с административными полномочиями (пользователь под именем "frick"). Сам процесс привел к тому, что только за восемь минут он полностью эскалировал свои права и с высокой вероятностью этот код был сгенерирован с помощью LLM: он содержал комментарии, обработку исключений и был написан с большой скоростью.
Латеральное перемещение и галлюцинации ИИ
После получения административных прав злоумышленник начал движение "вбок" по аккаунтам: использовал разные роли, пытался взять под контроль другие идентификаторы AWS, вплоть до попыток получить доступ через роли OrganizationAccountAccessRole. В ходе этих попыток система регистрировала обращения к несуществующим ID, что исследователи связывают с феноменом hallucinations (ложными выводами, характерными для генерирующих моделей).
AI-компонент как цель атаки
Интересно, что злоумышленник не только применял ИИ для ускорения атаки, но и пытался использовать облачные ИИ-сервисы в своих целях. Например, он взаимодействовал с Amazon Bedrock и программно вызывал несколько ИИ-моделей, от Claude разных версий до Llama 4 и Titan, обходя условия использования через AWS Marketplace API от имени жертвы.
Такой метод, известный как LLMjacking, позволял не только ускорять выполнение задач, но и, вероятно, использовать вычислительные ресурсы облака для собственного обучения моделей или перепродажи GPU-инстансов.
Почему это стало возможным
Аналитики считают, что весь инцидент мог быть предотвращён ещё на этапе предотвращения утечки ключей. Jason Soroko из Sectigo подчеркнул: фундаментальные ошибки, такие как размещение действующих ключей в публичных бакетах, делают защиту облака практически невозможной, как бы продвинута ни была система обнаружения атак.
С другой стороны, специалисты отмечают: сама по себе скорость и автоматизация, принесённые ИИ, изменяют ландшафт угроз. Shane Barney, CISO Keeper Security, говорит, что задачи, которые раньше занимали часы ручного анализа и перебора, теперь выполняются непрерывно и очень быстро: от разведки до эскалации прав и движения внутри сети утрачивается "окно" времени, которое защитники традиционно использовали для обнаружения и реагирования.
Что можно сделать
Чтобы противостоять подобным атакам, эксперты советуют:
избегать хранения ключей доступа с долгосрочными правами в публичных местах и отдаваться IAM-ролям с временными полномочиями;
внедрять регулярную ротацию и управление секретами;
усиливать контроль за поведением функций Lambda и мониторинг прав доступа в режиме реального времени;
применять детектирование поведения (runtime detection) и принципы наименьших привилегий.
Источник: DarkReading