Siber suçlular, modern yapay istihbarat modellerini eğiten, ezen ve hizmet eden yüksek değerli altyapıya odaklanmalarını yavaş yavaş kaydırdılar.
Son altı ay boyunca, olay tepkisi ekipleri, GPU kümelerini, model-hizmetli ağ geçitlerini ve büyük dil modeli (LLM) dağıtımlarının içindeki orkestrasyon boru hatlarını hedefleyen geçici olarak “Shadowinit” olarak adlandırılan yeni bir kötü amaçlı yazılım ailesini belgeledi.
Daha önceki kripto madenciliği kampanyalarından farklı olarak, Shadowinit tescilli ağırlıkları püskürtmeyi ve çıkarım çıktılarını sessizce manipüle etmeyi, sahtekarlık tespit sistemleri ve otonom sürüş yığınları gibi aşağı akış uygulamalarına olan güveni zayıflatmayı amaçlamaktadır.
İlk telemetri, ShadowInit’in, sırayan paket sürümlerine dayanan yaygın olarak paylaşılan model eğitimi dizüstü bilgisayarlarını kötüye kullanarak giriş kazandığını göstermektedir. Bir kurban defteri çektiğinde, zehirli bir bağımlılık Nvidia’nın Cuda çalışma zamanı için derlenmiş bir elf damlası getirir.
Trend Micro analistleri, A100 kümeleri çalışan bir doğu kıyısı araştırma laboratuvarından anormal giden trafik patlamasından sonra tehdidi kaydetti ve sonunda Bianlian Ransomware ekibine çakışan bir aktör grubuna ikili dosyaları izledi.
Aynı grubun Darknet Forumlarında 100 MB paket başına 5.000 $ ‘a kadar “model sızıntı” veri setleri sunduğundan şüpheleniliyor.
Shadowinit’in etkisi hem acil hem de artık. Acil kayıplar arasında beklenmedik GPU zaman tüketimi-ihlal başına 6.400 GPU saat arası-ve bütünlük kontrolleri için zorla kesinti süresi bulunmaktadır.
Artık tehdidi ölçmek daha zordur: çalıntı ağırlıklar, rakiplerin son derece gerçekçi kimlik avı içeriği oluşturmalarını veya rakip modelleri maliyetin bir kısmında ince ayarlamalarını sağlar.
Bir üretim olayında, kurcalanmış bir görme modeli, güvenlik açısından kritik kusurları yanlış sınıflandırdı ve tahmini 1,3 milyon dolara mal olan 47 dakikalık bir montaj hattı durmasını tetikledi.
Daha yakın ikili analiz modüler bir yapıyı ortaya çıkarır. Hafif bir yükleyici ortam kontrolleri gerçekleştirir, ardından ana yükü, aksi takdirde iyi huylu Jupyter-Metadata alanlarında depolanan baz64 kodlu parçalardan dinamik olarak yeniden yapılandırır.
.webp)
Bu, yeniden yapılandırılmış yükün sabitlenmiş GPU tamponlarının içine oturduğu ve geleneksel kullanıcı-uzay tarayıcılarından etkili bir şekilde saklandığı bir bellek anlık görüntüsünü yakalar. Daha da önemlisi, yükleyici Nvidia’nın hesaplama dezenfektan kancalarını devre dışı bırakarak haydut çekirdekleri engelleme girişimlerini engelliyor.
Kampanya operatörleri, AI altyapısının güvenlik uzmanları yerine DevOps ekipleri tarafından izlendiğini anladıkları için, aldatıcı günlük girişleri yerleştirdiklerini anladıkları için.
Örneğin, Shadowinit, rutin otomatikleştirme olaylarını taklit etmek için Kube-Audit mesajlarını oluşturur ve çoğu panoun katının altına gerçek uyarıları iter.
Konteyner yan yükleme yoluyla enfeksiyon mekanizması
Shadowinit’in tercih ettiği enfeksiyon vektörü, meşru bir Cuda taban görüntüsü olarak maskelenen kötü niyetli bir OCI tabakasıdır. Geliştiriciler görünüşte zararsız bir şekilde yürüttüğünde docker pull cuda:12.5-basekayıt defteri, katman sindirimlerini anında değiştiren manipüle edilmiş bir tezahürü döndürür.
.webp)
Saldırganın kayıt defteri proxy’sinden çıkarılan aşağıdaki Go snippet’i, sindirim ikamesinin transitte nasıl gerçekleştiğini gösterir:-
func rewriteManifest(w http.ResponseWriter, r *http.Request, legit, evil string) {
body, _ := io.ReadAll(r.Body)
manifest := bytes.ReplaceAll(body, []byte(legit), []byte(evil))
w.Header().Set("Content-Type", "application/vnd.oci.image.manifest.v1+json")
w.Write(manifest) // sends doctored manifest downstream
}Konteyner başlangıcında, enjekte edilen katman montajı /dev/nvidia0 ile cap_sys_rawio GPU DMA’nın yazdığı küçük bir EBPF programı ayrıcalıkları ve dağıtıyor.
Bu, çekirdek kodunu değiştirmeden, saldırganın gizlilik ihtiyacını karşılamadan sürekli okunaklı çıkarma trafiğinin anlık görüntülerini sağlar.
.webp)
Yan yüklü katman daha sonra konteyner ad alanı içinde, bir AES-GCM tüneli aracılığıyla tensörleri bir Cloudflare-işçilerinin uç noktasına periyodik olarak çalan, telemetriyi halka açık model hub’larına taklit ederek giden güvenlik duvarı kurallarından kaçan bir cron tarzı iş planlar.
Dosya-entegre izleme araçları genellikle değişken konteyner katmanlarını göz ardı eder ve GPU seviyesi kancalar nadiren denetlenir.
Bununla birlikte, savunucular görüntü imzalama doğrulamasını uygulayarak, defterlerin içindeki bağımlılık sürümlerini sabitleyerek ve GPU ürün yazılımı günlüklerini anomali algılama için SIEM boru hatlarına ileterek riski azaltabilir.
Trend Micro araştırmacılar, canlı model ağırlıklarını karma yapabilen ve bunları her 15 dakikada bir bilinen iyi taban çizgileriyle karşılaştırabilen çalışma zamanı onaylama aracılarını kullanmanızı önerir, bu da Shadowinit’in yürütülmenin ilk saatinde kurcalamasını ortaya çıkaracak bir strateji.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın