Seit der Entdeckung von LLM-Jacking durch das Sysdig Threat Research Team (TRT) im Mai 2024 hat Sysdig ständig neue Erkenntnisse und Anwendungen dieser Angriffe beobachtet. So wie sich große Sprachmodelle (LLMs) schnell weiterentwickeln und wir alle noch lernen, wie man sie am besten nutzt, entwickeln sich auch die Angreifer weiter und erweitern ihre Anwendungsfälle für den Missbrauch. Seit der ersten Entdeckung hat Sysdig neue Motive und Methoden beobachtet, mit denen Angreifer LLM-Jacking durchführen – einschließlich der raschen Ausweitung auf neue LLMs wie DeepSeek.
Wie Sysdig bereits im September berichtete, nimmt die Häufigkeit und Popularität von LLM-Jacking-Angriffen zu. Angesichts dieses Trends war es keine Überraschung, dass DeepSeek innerhalb weniger Tage nach seiner Medienpräsenz und dem darauffolgenden Anstieg der Nutzung ins Visier genommen wurde. LLM-Jacking-Angriffe haben auch in der Öffentlichkeit große Aufmerksamkeit erregt, unter anderem durch eine Klage von Microsoft gegen Cyberkriminelle, die Anmeldeinformationen gestohlen und diese für den Missbrauch ihrer generativen KI-Dienste (GenAI) verwendet hatten. In der Klage wurde behauptet, dass die Beklagten DALL-E verwendet hätten, um anstößige Inhalte zu generieren.
Die Kosten für die Cloud-basierte Nutzung von LLM können enorm sein und mehrere hunderttausend Dollar pro Monat übersteigen. Sysdig TRT fand mehr als ein Dutzend Proxyserver, die gestohlene Anmeldedaten für viele verschiedene Dienste verwendeten, darunter OpenAI, AWS und Azure. Die hohen Kosten von LLMs sind der Grund, warum Cyberkriminelle lieber Anmeldedaten stehlen, als für LLM-Dienste zu bezahlen.
LLMjackers nehmen DeepSeek schnell an
Die Angreifer implementieren die neuesten Modelle rasch nach ihrer Veröffentlichung. Beispielsweise veröffentlichte DeepSeek am 26. Dezember 2024 sein fortgeschrittenes Modell DeepSeek-V3, und einige Tage später war es bereits in einer ORP(oai-reverse-proxy)-Instanz implementiert, die auf HuggingFace gehostet wurde: Diese Instanz basiert auf einem Fork des ORP, wo sie den Commit mit der Implementierung von DeepSeek hochgeladen haben. Einige Wochen später, am 20. Januar 2025, veröffentlichte DeepSeek ein Reasoning-Modell namens DeepSeek-R1, und am nächsten Tag implementierte es der Autor dieses Fork-Repositorys.
Es wurde nicht nur Unterstützung für neue Modelle wie DeepSeek implementiert. Wir haben festgestellt, dass mehrere ORPs mit DeepSeek-API-Schlüsseln ausgestattet wurden und dass die Benutzer beginnen, diese zu verwenden.
Taktiken, Techniken und Verfahren des LLM-Jacking
LLM-Jacking ist nicht mehr nur eine mögliche Modeerscheinung oder ein Trend. Es haben sich Communities gebildet, in denen Tools und Techniken ausgetauscht werden. ORPs werden aufgeteilt und speziell für LLM-Jacking-Operationen angepasst. Cloud-Zugangsdaten werden vor dem Verkauf auf LLM-Zugriff getestet. LLM-Jacking-Operationen beginnen, eine einzigartige Reihe von TTPs zu etablieren, von denen wir im Folgenden einige identifiziert haben.
Communities
Es gibt viele aktive Communities, die LLMs für nicht jugendfrei Inhalte nutzen und KI-Charaktere für Rollenspiele erstellen. Diese Nutzer bevorzugen die Kommunikation über 4chan und Discord. Sie teilen den Zugang zu LLMs über ORPs, sowohl private als auch öffentliche. Während 4chan-Threads regelmäßig archiviert werden, sind Zusammenfassungen von Tools und Diensten häufig auf der Website Rentry.co im Pastbin-Stil verfügbar, die eine beliebte Wahl für den Austausch von Links und zugehörigen Zugangsinformationen ist. Auf Rentry gehostete Websites können Markdown verwenden, benutzerdefinierte URLs bereitstellen und nach der Veröffentlichung bearbeitet werden.
Bei der Untersuchung von LLM-Jacking-Angriffen in unseren Cloud-Honeypot-Umgebungen entdeckten wir mehrere TryCloudflare-Domains in den LLM-Eingabeaufforderungsprotokollen, bei denen der Angreifer den LLM zur Generierung eines Python-Skripts verwendete, das mit ORPs interagierte. Dies führte zu einer Rückverfolgung zu Servern, die TryCloudFlare-Tunnel verwendeten.
Diebstahl von Anmeldedaten
Angreifer stehlen Anmeldedaten über Schwachstellen in Diensten wie Laravel und verwenden dann die folgenden Skripte als Überprüfungswerkzeuge, um festzustellen, ob die Anmeldedaten für den Zugriff auf ML-Dienste geeignet sind. Sobald Zugriff auf ein System erlangt und Anmeldedaten gefunden wurden, führen Angreifer ihre Überprüfungsskripte auf den gesammelten Daten aus. Eine weitere beliebte Quelle für Anmeldedaten sind Softwarepakete in öffentlichen Repositories, die diese Daten preisgeben können.
Alle Skripte haben einige gemeinsame Eigenschaften: Gleichzeitigkeit, um bei einer großen Anzahl von (gestohlenen) Schlüsseln effizienter zu sein, und Automatisierung.
Best Practices zur Erkennung und Bekämpfung von LLM-Jacking
LLM-Jacking wird hauptsächlich durch die Kompromittierung von Anmeldeinformationen oder Zugangsschlüsseln durchgeführt. LLM-Jacking ist so weit verbreitet, dass MITRE LLM-Jacking in sein Attack Framework aufgenommen hat, um das Bewusstsein für diese Bedrohung zu schärfen und Verteidigern dabei zu helfen, diesen Angriff zu erfassen.
Die Verteidigung gegen die Kompromittierung von KI-Dienstkonten umfasst in erster Linie die Sicherung von Zugangsschlüsseln, die Implementierung eines starken Identitätsmanagements, die Überwachung auf Bedrohungen und die Gewährleistung eines Zugangs mit den geringsten Privilegien. Im Folgenden sind einige bewährte Verfahren zum Schutz vor der Kompromittierung von Konten aufgeführt:
Zugangsschlüssel sind ein wichtiger Angriffsvektor und sollten daher sorgfältig verwaltet werden.
Vermeiden Sie die feste Kodierung von Anmeldeinformationen Betten Sie API-Schlüssel, Zugriffsschlüssel oder Anmeldedaten nicht in Quellcode, Konfigurationsdateien oder öffentliche Repositories (z.B. GitHub, Bitbucket) ein. Verwenden Sie stattdessen Umgebungsvariablen oder Tools zur Verwaltung von Secrets wie AWS Secrets Manager, Azure Key Vault oder HashiCorp Vault.
Temporäre Anmeldedaten verwenden: Verwenden Sie temporäre Sicherheitsanmeldeinformationen anstelle von dauerhaften Zugriffsschlüsseln (zum Beispiel AWS STS AssumeRole, Azure Managed Identities und Google Cloud IAM Workload Identity).
Rotieren Sie AccessKeys: Wechseln Sie Zugriffsschlüssel regelmäßig, um die Anfälligkeit zu reduzieren. Automatisieren Sie den Rotationsprozess, wo immer dies möglich ist.
Überwachen Sie exponierte Anmeldedaten: Verwenden Sie automatisierte Scans, um ungeschützte Anmeldedaten zu identifizieren. Beispiele für Tools sind AWS IAM Access Analyzer, GitHub Secret Scanning und TruffleHog.
Überwachen Sie das Verhalten von Konten: Wenn ein Kontoschlüssel kompromittiert wird, weicht er in der Regel vom normalen Verhalten ab und beginnt, verdächtige Aktionen auszuführen. Überwachen Sie Ihre Cloud- und KI-Dienstekonten kontinuierlich mit Tools wie Sysdig Secure.
Schlussfolgerung
Da die Nachfrage nach Zugang zu fortgeschrittenen LLMs gestiegen ist, sind LLM-Jacking-Angriffe immer beliebter geworden. Aufgrund der hohen Kosten hat sich ein Schwarzmarkt für den Zugang zu OAI Reverse Proxies entwickelt, und es sind Untergrund-Dienstleister entstanden, um die Bedürfnisse der Verbraucher zu befriedigen. LLM-Jacking-Proxy-Betreiber haben den Zugang zu Anmeldedaten erweitert, ihre Angebote angepasst und begonnen, neue Modelle wie DeepSeek zu integrieren.
Inzwischen sind legitime Nutzer zu einem Hauptziel geworden. Da die unbefugte Nutzung von Konten zu Verlusten in Höhe von Hunderttausenden von Dollar für die Opfer führt, ist die ordnungsgemäße Verwaltung dieser Konten und der damit verbundenen API-Schlüssel von entscheidender Bedeutung geworden.
LLM-Jacking-Angriffe entwickeln sich weiter, ebenso wie die Motive, die sie antreiben. Letztendlich werden Angreifer weiterhin versuchen, Zugang zu LLMs zu erhalten und neue böswillige Verwendungen für sie zu finden. Es liegt an den Benutzern und Organisationen, sich darauf vorzubereiten, sie zu erkennen und sich gegen sie zu verteidigen.
Lesen Sie auch: Evil Twin und Juice Jacking: Das sind die weniger bekannten Cyberbedrohungen
.jpg "Zeigt Wege aus dem Digitalisierungs-Dschungel")
.jpg "Stromspeicher-Inspektion: Wirkungsgrad-Rekorde von über 98 Prozent aufgestellt")
