Кампанія ShadowRay 2.0, детально описана дослідниками Oligo Security, показує, наскільки вразливою може бути інфраструктура штучного інтелекту, якщо базові фреймворки не захищені на мережевому рівні. Зловмисники масово захоплюють кластери Ray через критичну RCE‑уразливість CVE‑2023‑48022, перетворюючи їх на саморасповсюджуваний ботнет, придатний для майнінгу, DDoS‑атак і крадіжки даних.
Ray, Jobs API та уразливість CVE‑2023‑48022
Ray, розроблений компанією Anyscale, є популярним open source‑фреймворком для побудови розподілених Python‑додатків: від машинного навчання та HPC до обробки великих даних. За даними Anyscale, Ray активно застосовують такі технологічні гіганти, як Uber, Amazon, Spotify, LinkedIn і OpenAI, зокрема в інфраструктурі тренування моделей на кшталт ChatGPT.
Уразливість CVE‑2023‑48022 отримала оцінку 9,8 за CVSS, що відповідає критичному рівню. Її сутність у тому, що Jobs API приймає та виконує завдання без будь‑якої аутентифікації. Якщо Ray‑кластер доступний із мережі, атакувальник може віддалено запускати довільний код і фактично повністю контролювати інфраструктуру.
Представники Anyscale заявляли, що Ray спочатку проєктувався для роботи всередині жорстко контрольованого приватного середовища, а відсутність аутентифікації — це усвідомлене архітектурне рішення. Через таку позицію частина галузі не розглядала це як класичну уразливість, а деякі бази даних уразливостей не включали CVE‑2023‑48022. У результаті для багатьох команд ІБ проблема стала «тіньовою уразливістю», яку ніхто цілеспрямовано не закривав.
Як ShadowRay 2.0 зламує та заражає Ray‑кластери ІІ
AI‑згенеровані пейлоади та автоматизація атак
За даними Oligo Security, за ShadowRay 2.0 стоїть зловмисник під ніком IronErn440, який активно використовує AI‑згенерований код для формування пейлоадів. На це вказують типові артефакти автогенерації: надлишкові docstring‑коментарі, неактуальні echo‑команди, однотипні пояснення й характерні шаблони обробки помилок у bash‑ і Python‑скриптах.
Скомпрометовані вузли отримують багатоступеневі bash‑ та python‑пейлоади, що надсилаються через Jobs API. Далі зловмисники використовують легітимні механізми оркестрації Ray, автоматично розгортаючи шкідливий код на всіх нодах кластера й перетворюючи його на єдиний керований ботнет.
GitLab та GitHub як DevOps‑інфраструктура для атаки
Дослідники виділяють дві основні хвилі ShadowRay 2.0. Перша, що закінчилася 5 листопада, використовувала GitLab для розміщення шкідливих пейлоадів. Друга хвиля, яка стартувала 17 листопада і триває, мігрувала на GitHub. Після видалення репозиторіїв зловмисники швидко створюють нові, застосовуючи фактично DevOps‑підхід до підтримки своєї інфраструктури атак.
Між цими хвилями різко зріс рівень експозиції Ray. За оцінками Oligo Security, зараз в інтернеті доступно понад 230 000 відкритих Ray‑серверів, тоді як на початку атак їх було лише кілька тисяч. Це радикально розширює поверхню атаки для ShadowRay 2.0 та подібних кампаній.
Функціональність ShadowRay: майнінг, шпигунство та DDoS
Криптомайнінг Monero та маскування XMRig
Одна з ключових цілей ShadowRay — майнінг Monero із використанням XMRig. Щоб знизити помітність, майнер обмежує завантаження CPU приблизно до 60% і маскується під нібито легітимні процеси, наприклад dns-filter. Малвар також завершує конкуруючі майнери та блокує сторонні пули, змінюючи файл /etc/hosts і правила iptables.
Крадіжка даних та стійкий віддалений доступ
Через численні reverse shell зловмисники отримують доступ до критичних активів: облікових записів MySQL, токенів доступу, хмарних ключів, пропрієтарних моделей ІІ та вихідного коду. На одному з заражених серверів дослідники виявили близько 240 ГБ моделей і датасетів, що демонструє потенційний масштаб витоку інтелектуальної власності.
DDoS‑атаки Sockstress і саморасповсюдження як черв’як
Додатково ShadowRay використовує інструмент Sockstress для проведення DDoS‑атак, відкриваючи велику кількість TCP‑з’єднань через «raw»‑сокети та виснажуючи ресурси цільових систем. Паралельно заражені Ray‑кластери сканують інтернет у пошуках інших уразливих інстансів, поводячись як саморасповсюджуваний мережевий черв’як.
Для закріплення в системі шкідливе ПЗ змінює конфігурації cron і systemd, забезпечуючи автозапуск і перевірку GitHub приблизно кожні 15 хвилин на наявність оновлених пейлоадів. Це дає змогу оперативно оновлювати інструментарій без ручного втручання.
Як захистити Ray‑кластери від ShadowRay 2.0 та подібних атак
Відсутність офіційних патчів від Anyscale робить CVE‑2023‑48022 критичним фактором ризику для організацій, що використовують Ray у продуктивних і дослідницьких середовищах. На тлі стрімкого зростання кількості публічно доступних Ray‑інстансів зростає й ймовірність компрометації, простою сервісів, витоку даних та несанкціонованого використання обчислювальних ресурсів.
Oligo Security та Anyscale рекомендують впровадити принаймні такі заходи захисту Ray‑кластерів:
1. Мережева ізоляція. Розгортати Ray у внутрішніх або сегментованих мережах, повністю виключивши прямий доступ із інтернету. Для адміністративного доступу застосовувати VPN і підхід Zero Trust.
2. Жорстка фільтрація трафіку. Обмежувати доступ до Ray‑нод за допомогою міжмережевих екранів та ACL, дозволяючи підключення лише з довірених IP‑адрес і сервісів.
3. Захист Dashboard і Jobs API. Додавати аутентифікацію та авторизацію до Ray Dashboard (порт 8265) і Jobs API, по можливості розміщуючи їх за зворотним проксі з додатковою перевіркою.
4. Безперервний моніторинг. Відстежувати аномальні піки навантаження CPU/GPU, нетипові зовнішні з’єднання, збільшення трафіку та підозрілі завдання Jobs API. Невідомі процеси, особливо замасковані під системні сервіси, слід оперативно блокувати та розслідувати.
5. Управління експозицією. Регулярно сканувати власну інфраструктуру, включно з хмарними розгортаннями, на предмет відкритих Ray‑інстансів і «забутих» кластерів, які можуть стати початковою точкою для ShadowRay 2.0.
Кампанія ShadowRay 2.0 наочно демонструє, як швидко кіберзлочинці адаптують Інструменти ІІ, DevOps‑практики та легітимні фреймворки на кшталт Ray для масштабної автоматизації атак. Щоб не допустити перетворення власних ІІ‑кластерів на частину чергового ботнету, компаніям варто вже зараз переглянути модель загроз, посилити мережеву сегментацію, увімкнути автентифікацію скрізь, де це можливо, і налагодити якісний моніторинг. Чим раніше будуть закриті публічні точки входу, тим нижчі шанси, що ShadowRay чи його наступники використають вашу інфраструктуру у своїх цілях.
