Компания Microsoft выявила масштабную кибератаку, в ходе которой злоумышленники использовали украденные учетные данные для несанкционированного доступа к сервисам генеративного ИИ. Хакерская группировка разработала сложную схему монетизации доступа к ИИ-инструментам, предоставляя другим киберпреступникам возможность создавать вредоносный контент.
Механизм атаки и используемые инструменты
По данным подразделения Microsoft по борьбе с цифровыми преступлениями (DCU), хакеры разработали специализированное программное обеспечение для автоматизированного сбора учетных данных пользователей с публичных веб-сайтов. Злоумышленники систематически похищали API-ключи Azure и аутентификационные данные Entra ID, что позволяло им получать несанкционированный доступ к сервисам генеративного ИИ, включая Azure OpenAI Service.
Инфраструктура и методы монетизации
Центральным элементом преступной схемы выступал сайт aitism[.]net, через который осуществлялась координация деятельности и продажа доступа к взломанным сервисам. Хакеры использовали специально разработанный фронтенд DALL-E 3 с поддержкой обратных прокси (de3u) для обхода защитных механизмов и генерации вредоносного контента. Программное обеспечение de3u позволяло имитировать легитимные API-запросы Azure OpenAPI, используя украденные ключи аутентификации.
Масштаб атаки и принятые меры
В преступной схеме участвовали как минимум три основных злоумышленника и семь активных пользователей их услуг. Microsoft получила судебный ордер на закрытие сайта aitism[.]net и заблокировала доступ хакерской группы к своим сервисам. Компания также усилила защитные механизмы для предотвращения подобных инцидентов в будущем.
Последствия и рекомендации по безопасности
Данный инцидент демонстрирует растущую угрозу злоупотребления генеративным ИИ в преступных целях. Специалисты Microsoft обнаружили доказательства того, что та же группировка атакует и других поставщиков ИИ-услуг. Организациям рекомендуется усилить контроль за API-ключами, регулярно проводить аудит доступа к ИИ-сервисам и внедрять многофакторную аутентификацию для защиты от подобных атак.
