Comment une attaque cloud basée sur l’IA mène à un compte admin en quelques minutes
L’éditeur de sécurité cloud-native Sysdig rapporte une intrusion éclair dans un compte AWS, où un acteur malveillant est passé d’un accès initial à des droits administrateur en moins de dix minutes. L’opération a impliqué de l’injection de code, l’exploitation d’Amazon Bedrock et des tentatives de lancement d’instances GPU coûteuses.
En moins de dix minutes, un environnement cloud peut aujourd’hui basculer sous le contrôle d’un hacker malveillant, avec l’aide de la GenAI. C’est le constat dressé par l’éditeur de sécurité cloud-native Sysdig, qui a récemment observé une intrusion éclair dans un environnement Amazon Web Services. L’attaquant n’a mis que huit minutes pour passer d’un accès initial à des droits administrateur, après avoir découvert des identifiants exposés dans des buckets Amazon S3 publics contenant notamment des données liées à des architectures d’IA de type Retrieval-Augmented Generation (RAG).
Dans son rapport, la Sysdig Threat Research Team (TRT) explique que les identifiants compromis appartenaient à un utilisateur IAM doté de droits en lecture et écriture sur AWS Lambda et de permissions limitées sur Amazon Bedrock. Ce compte semblait avoir été créé pour automatiser des tâches Bedrock via des fonctions Lambda. Les buckets ciblés utilisaient des conventions de nommage typiques d’outils d’IA, que l’attaquant aurait activement recherchées durant la phase de reconnaissance.
Reconnaissance transversale dans l’environnement cloud
Grâce à la politique ReadOnlyAccess attachée au groupe de l’utilisateur compromis, l’attaquant a procédé à une énumération large des ressources AWS: Secrets Manager, SSM, S3, Lambda, EC2, ECS, RDS, CloudWatch, KMS ou encore Organizations. Il a également exploré les services d’IA, notamment Bedrock, OpenSearch Serverless et SageMaker, en listant modèles, bases de connaissances et profils d’inférence. Sysdig relève que ce type d’énumération massive, effectuée sur plusieurs régions par un utilisateur IAM, constitue un signal suspect qui devrait être surveillé.
L’escalade de privilèges a été réalisée via l’injection de code dans une fonction Lambda existante. Après plusieurs tentatives visant des comptes aux noms évocateurs, l’attaquant est parvenu à créer une clé d’accès pour un utilisateur administrateur. Le code injecté listait les utilisateurs IAM, leurs clés et politiques associées, puis générait une nouvelle clé pour le compte ciblé.
Au total, 19 identités AWS distinctes (utilisateurs et rôles) ont été impliquées. Certaines tentatives ciblaient des identifiants de comptes inexistants, un comportement que Sysdig juge cohérent avec des hallucinations générées par IA.
Tentatives de lancement d’instances GPU haut de gamme et coûteuses
Le hacker malveillant a par ailleurs exploité Amazon Bedrock pour invoquer plusieurs modèles, dont Claude, Llama et Titan, après avoir vérifié l’absence de journalisation des invocations. Enfin, l’attaquant a tenté de lancer des instances GPU EC2 de type p5, puis p4d, facturées environ 32 dollars par heure. Un script d’initialisation installait CUDA, PyTorch et JupyterLab. Là encore, certaines références à des dépôts GitHub inexistants suggèrent une génération automatisée, précisent les chercheurs de Sysdig. Pour eux, cette opération illustre l’automatisation croissante des attaques ciblant les environnements cloud. Ils recommandent entre autres d’appliquer strictement le principe du moindre privilège, d’activer la journalisation Bedrock et de bloquer les types d’instances non autorisés via des Service Control Policies.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
