แคมเปญมุ่งร้ายที่มีชื่อว่า ‘Bizarre Bazaar’ กำลังพุ่งเป้าไปที่จุดเชื่อมต่อบริการ LLM (Large Language Model) ที่เปิดเผยสู่สาธารณะเพื่อแสวงหาผลประโยชน์ทางการค้าจากการเข้าถึงโครงสร้างพื้นฐาน AI โดยไม่ได้รับอนุญาต นักวิจัยจาก Pillar Security ตรวจพบการโจมตีมากกว่า 35,000 ครั้งบน honeypot ในช่วง 40 วัน แคมเปญนี้เกี่ยวข้องกับการขโมยทรัพยากรคอมพิวเตอร์เพื่อขุดคริปโตเคอร์เรนซี, การขายต่อการเข้าถึง API ในตลาดมืด, การขโมยข้อมูลจาก prompt และประวัติการสนทนา, และการพยายามเจาะเข้าสู่ระบบภายในผ่านเซิร์ฟเวอร์ Model Context Protocol (MCP) การโจมตีมักใช้ประโยชน์จากการตั้งค่าที่ไม่ถูกต้อง เช่น Ollama endpoints ที่ไม่มีการตรวจสอบสิทธิ์บนพอร์ต 11434 หรือ OpenAI-compatible APIs บนพอร์ต 8000 ผู้โจมตีประกอบด้วยสามกลุ่มที่ทำงานร่วมกัน: ผู้สแกนอินเทอร์เน็ต, ผู้ตรวจสอบการเข้าถึง, และผู้ให้บริการเชิงพาณิชย์ ‘silver[.]inc’ ที่ขายการเข้าถึง
Severity: สูง
System Impact:
- LLM (Large Language Model) service endpoints ที่เปิดเผย
- โครงสร้างพื้นฐาน AI
- เซิร์ฟเวอร์ Model Context Protocol (MCP)
- Ollama endpoints (พอร์ต 11434)
- OpenAI-compatible APIs (พอร์ต 8000)
- แชทบอทสำหรับการผลิตที่ไม่มีการตรวจสอบสิทธิ์
- สภาพแวดล้อม AI สำหรับการพัฒนาหรือการทดสอบ (Development or Staging AI environments)
- ระบบภายใน (ผ่านการเคลื่อนที่ด้านข้าง)
- บริการคลาวด์ (เกี่ยวข้องกับการเคลื่อนที่ด้านข้างผ่าน MCP)
- Kubernetes (เกี่ยวข้องกับการเคลื่อนที่ด้านข้างผ่าน MCP)
Technical Attack Steps:
- 1. การสแกน: ผู้โจมตีใช้บอทสแกนอินเทอร์เน็ตอย่างเป็นระบบเพื่อค้นหา LLM และ MCP endpoints ที่เปิดเผย (มักพบจากการสแกนของ Shodan หรือ Censys)
- 2. การตรวจสอบและการเข้าถึง: ผู้โจมตีทำการตรวจสอบผลการสแกนและทดสอบการเข้าถึงโดยไม่ได้รับอนุญาตไปยัง endpoints ที่มีการตั้งค่าผิดพลาด (เช่น Ollama endpoints ที่ไม่มีการตรวจสอบสิทธิ์บนพอร์ต 11434, OpenAI-compatible APIs บนพอร์ต 8000 และแชทบอทสำหรับการผลิตที่ไม่มีการตรวจสอบสิทธิ์)
- 3. การแสวงหาผลประโยชน์และการสร้างรายได้: ผู้โจมตีดำเนินการบริการเชิงพาณิชย์ (เช่น ‘silver[.]inc’ หรือ ‘NeXeonAI’ ที่โฆษณาบน Telegram และ Discord) เพื่อสร้างรายได้จากการเข้าถึงที่ไม่ได้รับอนุญาตนี้ ซึ่งรวมถึง:
- – การขโมยทรัพยากร: ใช้ทรัพยากรการประมวลผลเพื่อขุดคริปโตเคอร์เรนซี (cryptocurrency mining)
- – การขายต่อ API: ขายต่อการเข้าถึง LLM API ที่ไม่ได้รับอนุญาตในตลาดมืด
- – การขโมยข้อมูล: ขโมยข้อมูลที่ละเอียดอ่อนจาก prompt และประวัติการสนทนา
- – การเคลื่อนที่ด้านข้าง (Lateral Movement): พยายามเจาะเข้าสู่ระบบภายในองค์กรผ่านเซิร์ฟเวอร์ Model Context Protocol (MCP) ซึ่งอาจนำไปสู่การโต้ตอบกับ Kubernetes, การเข้าถึงบริการคลาวด์ และการรันคำสั่ง Shell
Recommendations:
Short Term:
- ตรวจสอบและปิดการเข้าถึง LLM/AI endpoints ที่เปิดเผยสู่สาธารณะโดยไม่จำเป็น
- กำหนดและบังคับใช้กลไกการตรวจสอบสิทธิ์และการอนุญาตที่เข้มงวดสำหรับ API และ endpoints ทั้งหมดของ LLM/AI
- เฝ้าระวังและตรวจจับกิจกรรมที่ผิดปกติบนโครงสร้างพื้นฐาน LLM/AI อย่างต่อเนื่อง เช่น การใช้ทรัพยากรสูงผิดปกติหรือการเรียกใช้ API ที่ไม่คาดคิด
- ทำการสแกนหาช่องโหว่และจุดที่เปิดเผย (เช่น ใช้เครื่องมือแบบ Shodan/Censys) เพื่อระบุและแก้ไขการตั้งค่าผิดพลาดโดยเร็วที่สุด
- ตรวจสอบและรักษาความปลอดภัยของสภาพแวดล้อม AI สำหรับการพัฒนาหรือการทดสอบ (development/staging environments) ให้เทียบเท่ากับสภาพแวดล้อมการผลิต
Long Term:
- พัฒนานโยบายการควบคุมการเข้าถึงที่แข็งแกร่ง (หลักการสิทธิ์น้อยที่สุด – Least Privilege) สำหรับโครงสร้างพื้นฐาน AI ทั้งหมด
- ทำการตรวจสอบการกำหนดค่า LLM และคลาวด์อย่างสม่ำเสมอเพื่อป้องกันการตั้งค่าผิดพลาดที่จะนำไปสู่ช่องโหว่
- นำแนวปฏิบัติด้านความปลอดภัย API (API Security Best Practices) มาใช้และบังคับใช้อย่างจริงจัง
- ให้ความรู้แก่ผู้พัฒนาและบุคลากรด้าน IT เกี่ยวกับแนวปฏิบัติด้านความปลอดภัยในการปรับใช้ AI ที่ดีที่สุด
- ปรับใช้โซลูชันการตรวจจับและตอบสนองภัยคุกคามขั้นสูง (MDR/XDR) เพื่อเฝ้าระวังสภาพแวดล้อม AI
- ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเคลื่อนที่ด้านข้างของผู้โจมตีหากมีการเจาะระบบเกิดขึ้น
- รวมความปลอดภัยเข้ากับวงจรการพัฒนาซอฟต์แวร์ (Secure Software Development Lifecycle – SSDLC) สำหรับแอปพลิเคชัน AI
Share this content: