Kiberdrošība

AI infrastruktūras aizsardzība, pirms NadMesh iztukšo jūsu mākoņpakalpojumu kontus

NadMesh botnets mērķē uz atklātiem AI pakalpojumiem, piemēram, ComfyUI un Ollama, lai nozagtu AWS atslēgas un Kubernetes marķierus. Aizsargājiet savu mākoņa infrastruktūru tūlīt.
AI infrastruktūras aizsardzība, pirms NadMesh iztukšo jūsu mākoņpakalpojumu kontus

Daudzu miljonu dolāru vērta uzņēmuma aizsardzības stratēģija bieži vien sabrūk viena neautentificēta konteinera dēļ. Es to redzēju klātienē pagājušajā ceturksnī, auditējot pētniecības laboratoriju, kas sešus mēnešus bija veltījusi savu Kubernetes klasteru drošības stiprināšanai, taču nedēļas nogales demonstrācijai atstāja atvērtu ComfyUI instanci. Ar šo vienu atvērto portu 8188 pietika, lai apietu visas viņu ieviestās tīkla politikas. NadMesh botnets, kas tika atklāts 2026. gada jūlija sākumā, mājo tieši šajā spraugā starp korporatīvajiem drošības standartiem un straujo AI ieviešanas tempu.

NadMesh ir uz Go valodas bāzēta ļaunprogrammatūru saime, kas prioritāti piešķir identitātei, nevis neapstrādātai skaitļošanas jaudai. Kamēr iepriekšējie botneti koncentrējās uz GPU pārņemšanu Monero ieguvei, NadMesh operatori saprot, ka nozagta AWS slepenā atslēga ir vērtīgāka par dažiem tūkstošiem jaucējkodu sekundē. QiAnXin XLab piektdien publicēja ziņojumu, kurā detalizēti aprakstīts, kā šis botnets medī attēlu ģeneratorus, lokālo modeļu izpildītājus un darbplūsmu veidotājus, kurus inženieru komandas ātri uzstāda, bet par ugunsmūri iedomājas par vēlu.

AI zelta drudža arhitektoniskās izmaksas

Mūsdienu AI ieviešanā pastāv fundamentāls paradokss. Organizācijas veic lielus ieguldījumus mākoņa IAM lomās un šifrētā krātuvē, tomēr ļauj izstrādātājiem palaist neautentificētus rīkus, piemēram, Ollama vai n8n, tieši publiskajā internetā. NadMesh izmanto šo šķēršļu trūkumu. Botnets izmanto Shodan vācēju, lai uzturētu savu skenēšanas rindu ar mērķiem, kuros darbojas ComfyUI, Open WebUI, Langflow un Gradio. Šie ir mūsdienu AI stekā izmantotie rīki, un tie reti kad ir droši konfigurēti jau "no kastes".

Nesen es analizēju datu uztveršanu, kur izstrādātājs bija izvietojis Marimo piezīmju grāmatiņu, lai testētu jaunu modeli. Viņi ignorēja drošības brīdinājumus, jo rīks bija nepieciešams tikai uz stundu. Divdesmit minūšu laikā NadMesh bots bija noskenējis IP adresi, identificējis pakalpojumu un mēģinājis veikt uzbrukumu. Šāds ātrums ir iespējams, jo botnets pret internetu izturas kā pret meklējamu datubāzi, nevis plašu teritoriju, kurā klīst. Apakštīkli, kuros tiek gūti panākumi, tiek atkārtoti pārbaudīti ik pēc piecām minūtēm. Ja mērķis tiek atzīmēts kā bīstams, botnets atgriežas ik pēc piecpadsmit minūtēm, lai vispirms veiktu augstas prioritātes skenēšanu tieši AI specifiskajiem portiem.

Kā vācējs baro rindu

Skenēšanas loģika ir neatlaidīga. Pilna pārmeklēšana visas pēdējo septiņu dienu laikā par bīstamām atzīmētās IP adreses atgriež rindas augšgalā. Autors skaidri zina, ka pētnieki un "medus podi" (honeypots) vēro situāciju. Ja mērķis absorbē desmit izvietošanas mēģinājumus bez rezultāta, botnets to automātiski iekļauj melnajā sarakstā. Tas novērš resursu tērēšanu mānekļiem. Kad rinda izsīkst, boti ģenerē nejaušu /24 apakštīklu un turpina medības.

Līdz jūlija otrajai nedēļai unikālo avota IP adrešu skaits, kas izplata NadMesh, strauji pieauga. XLab reģistrēja lēcienu no gandrīz nulles līdz aptuveni 139 dienā. Operatora paša vadības panelis, kas tika fiksēts 10. jūlijā, uzrāda 3 811 unikālas nozagtas AWS atslēgas. Šī neatbilstība starp mazo aktīvo botu skaitu un milzīgo nozagto akreditācijas datu apjomu liecina par ļoti efektīvu automatizācijas dzinēju. Operatoram nav nepieciešams milzīgs botnets, ja katra infekcija sniedz galveno atslēgu mākoņa videi.

Ievainojamība modeļa konteksta protokolā

Modeļa konteksta protokols (Model Context Protocol — MCP) ir galvenais vektors kontroliera prioritāšu sarakstā. MCP ir standarts, kas ļauj AI modeļiem izsaukt ārējos rīkus un piekļūt datu avotiem. Pēc konstrukcijas pirmā MCP specifikācija autentifikāciju atstāja ārpus pamata protokola. Autorizācijas plūsma eksistē kopš 2025. gada marta, taču specifikācijā tā aprakstīta kā izvēles iespēja. Daudzi izstrādātāji to izlaiž, lai ietaupītu laiku konfigurēšanas laikā.

Censys līdz 2026. gada maijam saskaitīja vairāk nekā 21 000 sasniedzamu MCP pakalpojumu. Aptuveni 90 no tiem reklamēja rīku ar nosaukumu execute_command. Šis rīks ir tieši tas izsaukums, kas atrodas NadMesh uzbrukumu tabulas augšgalā. Botnets izmanto JSON-RPC tools/call, lai aktivizētu šo komandu. Ar šo darbību nav saistīts neviens CVE, jo programmatūra darbojas tieši tā, kā tā ir konfigurēta. Problēma nav kļūda kodā. Problēma ir protokols, kas pēc noklusējuma pieļauj neautentificētu komandu izpildi.

Modeļa un identitātes inventarizācija

Kad bots veiksmīgi kompromitē saimniekdatoru, tas ne tikai instalē ieguves programmu. Tas veic vides inventarizāciju. Informācijas plūsma aiz NadMesh vadības paneļa rāda DeepSeek, GLM un Kimi modeļu sarakstus. Šie saraksti bieži ir atzīmēti ar ":cloud" identifikatoru. Tas norāda, ka bots skatās tālāk par lokālo mašīnu un identificē, kuriem attālinātajiem AI pakalpojumiem saimniekdators var piekļūt.

Tas, ko bots nosūta uz mājām, ir organizācijas identitāte. Tas izvelk mākoņa atslēgas no vides mainīgajiem, iegūst Kubernetes pakalpojumu kontu marķierus (tokens) un nolasa ~/.aws/config saturu. Tas mērķē arī uz .env failiem un ~/.docker/config.json. Pētnieki skaidri norāda uz motīvu. Operatoru interesē mākoņa akreditācijas dati un klasteru privilēģijas, nevis pats saimniekdators. Mūsdienu arhitektūrā saimniekdators ir vienreizlietojama prece, bet akreditācijas dati nodrošina pastāvīgu piekļuvi datu plaknei.

Noturība caur trīskāršu dublēšanu

NadMesh noņemšana no kompromitētas sistēmas ir sarežģīta tās dublēto noturības mehānismu dēļ. Agents uztur trīs atsevišķus veidus, kā izdzīvot pēc sistēmas restartēšanas. Ja administrators atrod un izdzēš vienu ierakstu, pārējie divi paliek, lai lejupielādētu jaunu ļaunprogrammatūras kopiju. Tas ir tāpat kā mēģināt nodzēst ugunsgrēku, kuram ir trīs neatkarīgi degvielas avoti. Katra ļaunprogrammatūras versija tiek apstrādāta ar Garble aizklāšanu un UPX pakošanu ar nejaušu polsterējumu. Tas nozīmē, ka katram aģentam ir unikāls faila jaucējkods (hash). Drošības komanda nevar paļauties uz vienu jaucējkodu, lai atrastu infekcijas visā tīklā.

Pašlaik tīklā darbojas piecas botneta versijas. Visizplatītākā ir 33.8-GO-TITAN. Operators izmanto "kanārijputniņa" galapunktu, lai pārbaudītu jaunas versijas nelielā flotes daļā pirms plašas izplatīšanas. Tas ir DevOps brieduma līmenis, kas atspoguļo leģitīmos programmatūras uzņēmumus, pret kuriem tie vēršas. Operatora panākumi tiek vērtēti pēc rezultātu atļauju saraksta, kas neietver Ollama un AWS ieguvi. Tas liecina, ka rezultātu tabula vadības panelī rāda tikai daļu no visas operācijas.

Aizsardzības pasākumi atklātajam perimetram

Lielākā daļa NadMesh uzbrukumu ir vērsti uz administratora funkcijām, kas atstātas pieejamas publiskajā internetā. Tas ietver atvērtas Docker API portā 2375, Jenkins skriptu konsoles un neautentificētas Redis instances. Neviens ielāps neaizver šos caurumus, jo tie ir konfigurācijas lēmumi. Lai nodrošinātu savu vidi, šie pakalpojumi ir jāpārvieto aiz autentifikācijas vai pilnībā jāizņem no publiskā interneta. Prioritāte jāpiešķir četriem portiem, kurus NadMesh atkārtotās skenēšanas darbs ierindo pirmajā vietā: 8188 (ComfyUI), 11434 (Ollama), 7860 (Gradio) un 5678 (n8n).

Ir arī īss saraksts ar ievainojamībām, kurām nepieciešama tūlītēja ielāpu uzstādīšana. CVE-2026-39987 ir pirmsautentifikācijas attālināta koda izpildes kļūda Marimo piezīmju grāmatiņās. CISA to pievienoja zināmo izmantoto ievainojamību katalogam aprīlī. CVE-2026-41176 arī ir kritiska, jo tā ļauj neautentificētiem izsaucējiem pārslēgt autentifikācijas slēdzi rclone RC serveros. Tā kā rclone konfigurācijas bieži satur mākoņa akreditācijas datus, tas ir augstas prioritātes mērķis NadMesh.

Ja atrodat kompromitēšanas pazīmes, nekavējoties izolējiet saimniekdatoru. Meklējiet noturības failus /etc/cron.d/.sys_monitor un slēptos failus /dev/shm/.a vai /tmp/.a. Akreditācijas datu anulēšana ir vienīgais drošais ceļš uz priekšu. Ja saimniekdators ir kompromitēts, pieņemiet, ka katra AWS atslēga, klastera marķieris un .env fails, kuram tas pieskāries, tagad ir operatora rokās. Atslēgu nomaiņa nav pietiekama, ja ļaunprogrammatūra joprojām ir klātesoša, lai nozagtu jaunās. Pirms aizstājēju izsniegšanas ir jālikvidē noturības mehānismi. Auditējiet savus žurnālus, meklējot aktivitātes no IP 209.99.186[.]235 vai savienojumus ar domēnu cdnorigin[.]net. Mērķis ir pārbaudīt, kur nozagtās identitātes tika izmantotas, kamēr tās bija aktīvas.

Avoti: NIST Cybersecurity Framework, MITRE ATT&CK (Resource Development, Initial Access), QiAnXin XLab NadMesh Report, Censys MCP Census 2026.

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem nolūkiem un neaizstāj profesionālu kiberdrošības auditu vai incidentu reaģēšanas pakalpojumu.

bg
bg
bg

Uz tikšanos otrā pusē.

Mūsu end-to-end šifrētais e-pasta un mākoņdatu glabāšanas risinājums nodrošina visefektīvākos līdzekļus drošai datu apmaiņai, garantējot jūsu datu drošību un konfidencialitāti.

/ Izveidot bezmaksas kontu