كشف تقرير حديث لفريق أبحاث التهديدات في شركة Sysdig TRT عن نمط جديد وخطير من الهجمات السيبرانية التي تستهدف البيئات السحابية، حيث تمكن مهاجمون من السيطرة الكاملة على حسابات تابعة لمنصة Amazon Web Services (AWS) في زمن قياسي لم يتجاوز 10 دقائق.
وتكمن خطورة هذه الواقعة، التي حدثت في أواخر نوفمبر الماضي، في المؤشرات القوية التي تؤكد استخدام المهاجمين لنماذج الذكاء الاصطناعي (LLMs) لتسريع وتيرة الاختراق واتخاذ قرارات تقنية لحظية.
ثغرة البداية: بيانات مكشوفة في Amazon S3
بدأت رحلة الاختراق من خطأ تمثل في ترك مفاتيح الوصول (AWS Access Keys) مكشوفة داخل حاويات Amazon S3 المتاحة للجمهور، والتي تعمل بمثابة خزائن تخزين رقمية.
وأفادت Sysdig بأن هذه الخزائن احتوت على بيانات مرتبطة بتقنية (RAG)، وهي تقنية تستخدم لتدعيم نماذج الذكاء الاصطناعي بالمعلومات، ما يشير إلى أن المهاجمين استهدفوا الشركات التي تعمل في تطوير أدوات الذكاء الاصطناعي على وجه التحديد.
من مشاهد إلى مدير: خدعة تصعيد الصلاحيات
استخدم المهاجمون في البداية حساباً بصلاحيات قراءة فقط لإجراء مسح شامل لكافة الخدمات الحيوية مثل Secrets Manager وEC2 وAmazon Bedrock.
وانتقل الهجوم إلى مرحلة حرجة عبر خدمة AWS Lambda، وهي خدمة لتشغيل الأكواد تلقائياً. وعبر ثغرة في تصاريح الحساب، استبدل المهاجمون كود وظيفة EC2-init عدة مرات، حتى نجحوا في توليد مفاتيح جديدة تمنحهم صلاحية المدير (Admin)، وهو ما منحهم السيطرة المطلقة على الحساب.
بصمات الذكاء الاصطناعي في تنفيذ الهجوم
يرجح الخبراء أن المهاجمين لم يعملوا بمفردهم، بل استعانوا بنماذج لغوية كبيرة (LLMs). واستند هذا الاستنتاج إلى عدة أدلة تقنية:
- السرعة الفائقة: تنفيذ تسلسل معقد من الخطوات في أقل من 10 دقائق.
- الشيفرة المولدة آلياً: رصد تعليقات باللغة الصربية وأنماط كتابة توحي بأن الذكاء الاصطناعي هو من صاغ الكود.
- الهلوسة التقنية: رصد محاولات للوصول إلى معرفات حسابات وأسماء جلسات وهمية، وهو سلوك نمطي تقع فيه نماذج الذكاء الاصطناعي عند محاولة تخمين البيانات.
اختطاف النماذج واستنزاف الموارد
بعد السيطرة، انتقل المهاجمون إلى مرحلة (LLMjacking)، حيث عطلوا سجلات المراقبة في خدمة Amazon Bedrock وبدأوا في استغلال نماذج الذكاء الاصطناعي المتاحة. ولم يتوقف الأمر عند هذا الحد، بل قاموا بتشغيل معالجات رسومية فائقة القدرة (GPU) من نوع (p4d.24xlarge).
وتعد هذه المعالجات المحرك الذي يشغل الذكاء الاصطناعي، وهي باهظة الثمن؛ إذ تبلغ تكلفة تشغيلها نحو 32.77 دولاراً للساعة الواحدة. ويهدف المهاجمون من هذه الخطوة غالباً إلى استخدام هذه القوة الحوسبية في مهام معقدة أو تأجيرها بشكل غير قانوني، ما يتسبب في خسائر مالية فادحة للضحية.
