Підрозділ Microsoft з цифрових розслідувань (DCU) виявив масштабну кібератаку, спрямовану на несанкціонований доступ до сервісів генеративного штучного інтелекту. Зловмисники розробили складну інфраструктуру для монетизації викрадених облікових даних, надаючи іншим кіберзлочинцям можливість створювати шкідливий контент за допомогою ШІ-інструментів.
Технічні деталі кіберзлочинної операції
Хакерське угруповання застосувало автоматизоване програмне забезпечення для систематичного збору облікових даних користувачів з відкритих веб-ресурсів. Основними цілями атаки стали API-ключі Azure та аутентифікаційні дані Entra ID, що забезпечило несанкціонований доступ до преміальних функцій Azure OpenAI Service, включаючи DALL-E 3.
Архітектура злочинної інфраструктури
Координаційним центром операції виступав веб-ресурс aitism[.]net, через який здійснювалась монетизація викрадених доступів. Зловмисники розробили спеціалізований фронтенд de3u з підтримкою реверсивних проксі-серверів, що дозволяв обходити системи безпеки та емулювати легітимні API-запити до сервісів Azure OpenAI.
Масштаби компрометації та протидія
За даними розслідування, до злочинної схеми були причетні щонайменше три ключові організатори та сім активних користувачів нелегальних послуг. Microsoft оперативно отримала судовий ордер на припинення роботи координаційного сайту та заблокувала скомпрометовані облікові записи. Компанія також впровадила додаткові механізми захисту для запобігання подібним інцидентам.
Рекомендації щодо посилення безпеки
Фахівці з кібербезпеки наголошують на необхідності впровадження комплексного підходу до захисту ШІ-сервісів. Організаціям рекомендується: регулярно проводити аудит доступу до API-ключів, впроваджувати багатофакторну аутентифікацію, використовувати системи виявлення аномальної активності та навчати персонал правилам безпечної роботи з конфіденційними даними.
Цей інцидент демонструє зростаючу загрозу зловживання технологіями штучного інтелекту в кіберзлочинних цілях. Експерти Microsoft виявили докази того, що це ж угруповання здійснює атаки на інших провайдерів ШІ-сервісів, що підкреслює необхідність посилення галузевої співпраці у сфері кібербезпеки та розробки нових механізмів захисту систем штучного інтелекту.
