Ảnh: Shutterstock

Cybernews ngày 29/5 (giờ địa phương) dẫn thông tin từ Sysdig cho biết hãng bảo mật đám mây này đã phát hiện một vụ tấn công có dấu hiệu được tác nhân AI điều phối theo thời gian thực. Theo Sysdig, toàn bộ chuỗi xâm nhập, từ điểm truy cập ban đầu đến lúc trích xuất dữ liệu từ cơ sở dữ liệu Postgres nội bộ, diễn ra trong chưa đầy một giờ.

Theo báo cáo, kẻ tấn công ban đầu khai thác một lỗ hổng đã bị công khai trên notebook Marimo, sau đó thu thập khóa truy cập đám mây và thông tin xác thực cơ sở dữ liệu.

Từ các thông tin chiếm được, chúng tiếp tục lấy khóa SSH lưu trong AWS Secrets Manager để truy cập vào máy chủ nội bộ. Sau khi vào bastion host qua SSH, kẻ tấn công chỉ mất khoảng 2 phút để trích xuất schema và dữ liệu của cơ sở dữ liệu nội bộ.

Sysdig cho biết toàn bộ quá trình, tính từ thời điểm xâm nhập notebook Marimo đến khi dump cơ sở dữ liệu Postgres nội bộ, được hoàn tất trong vòng một giờ.

Michael Clarke, Giám đốc nghiên cứu của Sysdig, nhận định nhiều dấu hiệu cho thấy vụ tấn công có sự can thiệp của một tác nhân AI.

Theo ông, kẻ tấn công thậm chí đã dump cả những bảng dữ liệu chưa được xác minh là tồn tại, chỉ dựa trên tên bảng. Nhật ký lệnh còn để lại một ghi chú bằng tiếng Trung Quốc với nội dung: “hãy xem tiếp có thể làm gì”.

Clarke cho rằng những script được chuẩn bị sẵn thường không để lại kiểu “độc thoại nội tâm” như vậy. Ông nói việc duy trì phiên SSH từ 6 địa chỉ IP khác nhau với khoảng cách dưới 1 giây, đồng thời để lại ghi chú như trên, khó có thể là hành vi của con người mà nhiều khả năng là dấu vết của một hệ thống do AI điều phối.

Một căn cứ khác mà ông nêu ra là đầu ra của các câu lệnh được định dạng gọn gàng theo cách giúp hệ thống khác dễ dàng đọc và xử lý.

Sysdig đánh giá vụ việc cho thấy xu hướng mới không phải AI thay thế hacker, mà là hacker đang thay script bằng AI. Theo Clarke, điều đáng lo không nằm ở việc các cuộc tấn công trở nên phức tạp hơn, mà ở chỗ chi phí triển khai giảm xuống. Khi tốc độ thực hiện tăng và chi phí dựng các cuộc tấn công kiểu này tiếp tục hạ thấp, số vụ xâm nhập tương tự có thể gia tăng.

Từ khóa

#Sysdig #tác nhân AI #bảo mật đám mây #Marimo #AWS Secrets Manager #SSH #Postgres
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.