logo ntadmins

LLMJacking nimmt DeepSeek ins Visier

10. Februar 2025
A hand showing AI tech with Generative Ai concept, artificial intelligence cyber security, digital transformation, finance, document file management, AI chip, large language model, LLM
Quelle: Krot_Studio, Adobe Stockphoto

Seit der Entdeckung von LLMjacking durch das Sysdig Threat Research Team (TRT) im Mai 2024 gab es viele Erkenntnisse und Anwendungen dieser Angriffe zu beobachten. So wie sich große Sprachmodelle (LLMs, Large Language Models) schnell weiterentwickeln und wir alle noch lernen, wie man sie am besten nutzt, entwickeln sich auch die Angreifer weiter und erweitern ihre Anwendungsfälle für den Missbrauch – einschließlich der raschen Ausweitung auf neue LLMs wie DeepSeek.

Angesichts der Zunahme von LLMjacking-Angriffen überrascht es nicht, dass DeepSeek innerhalb weniger Tage nach seiner Medienpräsenz und dem darauffolgenden Anstieg der Nutzung ins Visier genommen wurde. LLMjacking-Angriffe haben auch in der Öffentlichkeit große Aufmerksamkeit erregt, unter anderem durch eine Klage von Microsoft gegen Cyber-Kriminelle, die Anmeldeinformationen gestohlen und diese für den Missbrauch ihrer generativen KI-Dienste (GenAI) verwendet hatten. In der Klage wurde behauptet, dass die Beklagten DALL-E verwendet hätten, um anstößige Inhalte zu generieren.

Die Kosten für die Cloud-basierte Nutzung von LLM können enorm sein und mehrere hunderttausend Dollar pro Monat übersteigen. Sysdig TRT fand mehr als ein Dutzend Proxyserver, die gestohlene Anmeldedaten für viele verschiedene Dienste verwendeten, darunter OpenAI, AWS und Azure. Die hohen Kosten von LLMs sind der Grund, warum Cyber-Kriminelle lieber Anmeldedaten stehlen, als für LLM-Dienste zu bezahlen.
LLMjackers nehmen DeepSeek schnell an

sysdigB
Tabelle mit den geschätzten Kosten durch LLM-Missbrauch (Quelle: Sysdig 2025)

Die Angreifer implementieren die neuesten Modelle rasch nach ihrer Veröffentlichung. Beispielsweise veröffentlichte DeepSeek am 26. Dezember 2024 sein fortgeschrittenes Modell DeepSeek-V3, und einige Tage später war es bereits in einer ORP(oai-reverse-proxy)-Instanz implementiert, die auf HuggingFace gehostet wurde:

Diese Instanz basiert auf einem Fork des ORP, wo sie den Commit mit der Implementierung von DeepSeek hochgeladen haben. Einige Wochen später, am 20. Januar 2025, veröffentlichte DeepSeek ein Reasoning-Modell namens DeepSeek-R1, und am nächsten Tag implementierte es der Autor dieses Fork-Repositorys. Es wurde nicht nur Unterstützung für neue Modelle wie DeepSeek implementiert. Es wurde zudem festgestellt, dass mehrere ORPs mit DeepSeek-API-Schlüsseln ausgestattet wurden und dass die Benutzer beginnen, diese zu verwenden.

Taktiken, Techniken und Verfahren des LLMjacking

LLMjacking ist nicht mehr nur eine mögliche Modeerscheinung oder ein Trend. Es haben sich Communities gebildet, in denen Tools und Techniken ausgetauscht werden. ORPs werden aufgeteilt und speziell für LLMjacking-Operationen angepasst. Cloud-Zugangsdaten werden vor dem Verkauf auf LLM-Zugriff getestet. LLMjacking-Operationen beginnen, eine einzigartige Reihe von TTPs zu etablieren, von denen einige identifiziert wurden.

Es gibt viele aktive Communities, die LLMs für nicht jugendfrei Inhalte nutzen und KI-Charaktere für Rollenspiele erstellen. Diese Nutzer bevorzugen die Kommunikation über 4chan und Discord. Sie teilen den Zugang zu LLMs über ORPs, sowohl private als auch öffentliche. Während 4chan-Threads regelmäßig archiviert werden, sind Zusammenfassungen von Tools und Diensten häufig auf der Website Rentry.co im Pastbin-Stil verfügbar, die eine beliebte Wahl für den Austausch von Links und zugehörigen Zugangsinformationen ist. Auf Rentry gehostete Websites können Markdown verwenden, benutzerdefinierte URLs bereitstellen und nach der Veröffentlichung bearbeitet werden.

Bei der Untersuchung von LLMjacking-Angriffen in Cloud-Honeypot-Umgebungen wurden mehrere TryCloudflare-Domains in den LLM-Eingabeaufforderungsprotokollen entdeckt, bei denen der Angreifer den LLM zur Generierung eines Python-Skripts verwendete, das mit ORPs interagierte. Dies führte zu einer Rückverfolgung zu Servern, die TryCloudFlare-Tunnel verwendeten.

Diebstahl von Anmeldedaten

Angreifer stehlen Anmeldedaten über Schwachstellen in Diensten wie Laravel und verwenden dann Skripte als Überprüfungswerkzeuge, um festzustellen, ob die Anmeldedaten für den Zugriff auf ML-Dienste geeignet sind. Sobald Zugriff auf ein System erlangt und Anmeldedaten gefunden wurden, führen Angreifer ihre Überprüfungsskripte auf den gesammelten Daten aus.

Eine weitere beliebte Quelle für Anmeldedaten sind Softwarepakete in öffentlichen Repositories, die diese Daten preisgeben können. Alle Skripte haben einige gemeinsame Eigenschaften: Gleichzeitigkeit, um bei einer großen Anzahl von (gestohlenen) Schlüsseln effizienter zu sein, und Automatisierung.

Best Practices zur Erkennung und Bekämpfung von LLMjacking

LLMjacking wird hauptsächlich durch die Kompromittierung von Anmeldeinformationen oder Zugangsschlüsseln durchgeführt. LLMjacking ist so weit verbreitet, dass MITRE LLMjacking in sein Attack Framework aufgenommen hat, um das Bewusstsein für diese Bedrohung zu schärfen und Verteidigern dabei zu helfen, diesen Angriff zu erfassen.

Die Verteidigung gegen die Kompromittierung von KI-Dienstkonten umfasst in erster Linie die Sicherung von Zugangsschlüsseln, die Implementierung eines starken Identitätsmanagements, die Überwachung auf Bedrohungen und die Gewährleistung eines Zugangs mit den geringsten Privilegien. Im Folgenden sind einige bewährte Verfahren zum Schutz vor der Kompromittierung von Konten aufgeführt:

  • Zugangsschlüssel sichern: Zugangsschlüssel sind ein wichtiger Angriffsvektor und sollten daher sorgfältig verwaltet werden.
  • Vermeiden Sie die feste Kodierung von Anmeldeinformationen: Betten Sie API-Schlüssel, Zugriffsschlüssel oder Anmeldedaten nicht in Quellcode, Konfigurationsdateien oder öffentliche Repositories (z.B. GitHub, Bitbucket) ein. Verwenden Sie stattdessen Umgebungsvariablen oder Tools zur Verwaltung von Secrets wie AWS Secrets Manager, Azure Key Vault oder HashiCorp Vault.
  • Temporäre Anmeldedaten verwenden: Verwenden Sie temporäre Sicherheitsanmeldeinformationen anstelle von dauerhaften Zugriffsschlüsseln. Zum Beispiel AWS STS AssumeRole, Azure Managed Identities und Google Cloud IAM Workload Identity.
  • Rotieren Sie AccessKeys: Wechseln Sie Zugriffsschlüssel regelmäßig, um die Anfälligkeit zu reduzieren. Automatisieren Sie den Rotationsprozess, wo immer dies möglich ist.
  • Überwachen Sie exponierte Anmeldedaten: Verwenden Sie automatisierte Scans, um ungeschützte Anmeldedaten zu identifizieren. Beispiele für Tools sind AWS IAM Access Analyzer, GitHub Secret Scanning und TruffleHog.
  • Überwachen Sie das Verhalten von Konten: Wenn ein Kontoschlüssel kompromittiert wird, weicht er in der Regel vom normalen Verhalten ab und beginnt, verdächtige Aktionen auszuführen. Überwachen Sie Ihre Cloud- und KI-Dienstekonten kontinuierlich mit Tools wie Sysdig Secure.

Da die Nachfrage nach Zugang zu fortgeschrittenen LLMs gestiegen ist, sind LLMjacking-Angriffe immer beliebter geworden. Aufgrund der hohen Kosten hat sich ein Schwarzmarkt für den Zugang zu OAI Reverse Proxies entwickelt, und es sind Untergrund-Dienstleister entstanden, um die Bedürfnisse der Verbraucher zu befriedigen. LLMjacking-Proxy-Betreiber haben den Zugang zu Anmeldedaten erweitert, ihre Angebote angepasst und begonnen, neue Modelle wie DeepSeek zu integrieren.

Inzwischen sind legitime Nutzer zu einem Hauptziel geworden. Da die unbefugte Nutzung von Konten zu Verlusten in Höhe von Hunderttausenden von Dollar für die Opfer führt, ist die ordnungsgemäße Verwaltung dieser Konten und der damit verbundenen API-Schlüssel von entscheidender Bedeutung geworden.
LLMjacking-Angriffe entwickeln sich weiter, ebenso wie die Motive, die sie antreiben. Letztendlich werden Angreifer weiterhin versuchen, Zugang zu LLMs zu erhalten und neue böswillige Verwendungen für sie zu finden. Es liegt an den Benutzern und Organisationen, sich darauf vorzubereiten, sie zu erkennen und sich gegen sie zu verteidigen. (rhh)

Sysdig

Lesen Sie auch

cybersecurity warrior in digital armor wielding a firewall shield and encryption sword battling shadowy data breach monsters in virtual reality

Datenlecks per E-Mail: Vorbeugen ist besser…

Privacy protect data cybersecurity, FA concept, Businessman login online banking, Payment credit card financial transactions, The two factor authentication security system, personal data protection

Einmal im Jahr das Passwort ändern reicht nicht

ai pixabay Alexandra Koch NT

Cybersecurity : radikale Neugestaltung durch KI