Darktrace stieß auf den Vorfall bei der Untersuchung von Aktivitäten, die auf Kryptomining hindeuteten. Ausgangspunkt war eine von außen erreichbare AWS-EC2-Instanz, die mit Amazon Bedrock verbunden war. Amazon Bedrock ist ein verwalteter AWS-Dienst, der per Programmierschnittstellen Zugriff auf KI-Modelle mehrerer Anbieter bietet, sodass Unternehmen generative KI-Anwendungen entwickeln können, ohne die zugrunde liegende Infrastruktur selbst zu betreiben.
Nach Einschätzung von Darktrace verschaffte sich der Angreifer den initialen Zugriff offenbar über Brute-Force-Anmeldeversuche auf den EC2-Server, auch wenn sich das laut Unternehmen nicht abschließend bestätigen ließ. Anschließend lud der Bedrohungsakteur die Kryptomining-Software XMRig auf das kompromittierte System und verband sich wenige Minuten später mit einem Mining-Pool. Die Untersuchung von Darktrace ergab, dass das betroffene System wahrscheinlich als AI-Gateway fungierte und damit Zugang zu einem deutlich breiteren Spektrum an Unternehmenswerten und Daten hatte.
Gerade darin sieht Darktrace das eigentliche Risiko. Nathaniel Jones weist darauf hin, dass ein Angreifer abhängig von den dem Gateway erteilten Berechtigungen auf sensible Eingaben und Modellausgaben hätte zugreifen, API-Schlüssel, Geheimnisse oder Cloud-Zugangsdaten entwenden oder proprietäre Wissensdatenbanken abfragen können, die über Retrieval-Augmented Generation (RAG) angebunden sind. Ebenso wäre es möglich gewesen, angehängte IAM-Rollen zu nutzen, um sich in weitere AWS-Ressourcen vorzuarbeiten, erhebliche finanzielle Auswirkungen durch Missbrauch von KI-Inferenzdiensten auszulösen oder Persistenz in der Cloud-Umgebung aufzubauen.
Jones betont deshalb, dass nicht die beobachtete Nutzlast die wichtigste Lehre aus dem Vorfall ist, sondern das, was ebenso leicht hätte geschehen können. Kryptomining sei laut Darktrace auffällig und vergleichsweise leicht zu erkennen; der Diebstahl von Zugangsdaten und dauerhafte Verankerung in der Cloud wären deutlich gravierendere Ergebnisse gewesen.
Aus Sicht von Darktrace sind AI-Gateways für Angreifer besonders interessant, weil sie Fähigkeiten bündeln, die früher auf getrennte Systeme verteilt waren. Jones nennt als Beispiele den zentralisierten Zugriff auf mehrere KI-Anbieter, hochwertige API-Zugangsdaten, die Integration in Unternehmensidentitäten, den Zugriff auf interne Dokumente und Unternehmenswissen sowie Verbindungen zu Entwicklungstools, Datenbanken und Software-as-a-Service-Plattformen. Wird ein einzelnes Gateway kompromittiert, kann das nach seiner Darstellung den Zugang zu mehreren nachgelagerten Systemen eröffnen, ohne jedes System separat angreifen zu müssen. Jones vergleicht solche Gateways daher mit einer kleinen Lieferkette.
Für den Betrieb solcher Systeme empfiehlt Darktrace unter anderem, keine übermäßig weitreichenden IAM-Berechtigungen zu vergeben und Verwaltungsoberflächen nicht ins Internet zu stellen. Jones rät außerdem zu kurzlebigen API-Schlüsseln statt langlebiger Anmeldedaten, zu einer Segmentierung zwischen KI-Infrastruktur und Produktivumgebungen sowie zur Überwachung KI-spezifischer Verwaltungsaktionen und Prompt-Aktivitäten. AI-Gateways sollten wie privilegierte Cloud-Ressourcen behandelt werden.
Jones ergänzt, Darktrace beobachte in seiner Kundenbasis bereits weitere Hinweise darauf, warum zusätzliche Kontrollen nötig seien. Die häufigsten Risiken seien nicht zwangsläufig kompromittierte Modelle oder besonders fortgeschrittene Angriffe auf KI selbst. Vielmehr würden Mitarbeiter und Geschäftsbereiche sensible Informationen durch vollkommen legitim wirkende Interaktionen offenlegen.
