SG.hu·
Először hajtott végre zsarolóvírus támadást egy önállóan működő MI-ügynök

Egy nagy nyelvi modell emberi beavatkozás nélkül jutott be a célrendszerbe, megszerezte a hozzáféréseket, titkosította az adatokat és elkészítette a váltságdíjkövetelést.
Az első teljesen automatizált, úgynevezett agentikus zsarolóvírus-támadást dokumentálta a Sysdig biztonsági vállalat kutatócsapata. A JadePuffer névre keresztelt támadó nem egyszerűen MI segítségével dolgozott, hanem egy nagy nyelvi modell önállóan hajtotta végre a teljes támadási láncot. Az MI feladata volt a célpont felderítése, a sérülékenységek kihasználása, a hitelesítési adatok felkutatása, a rendszerek kompromittálása, az adatok titkosítása, majd a zsarolóüzenet elkészítése is. A kutatók szerint ez mérföldkőnek számít a kibertámadások történetében, mert eddig minden ismert zsarolóvírus mögött emberek álltak, akik legfeljebb automatizált eszközöket használtak. Ezúttal azonban maga az MI működött operátorként.
A szakemberek ugyanakkor hangsúlyozzák, hogy a JadePuffer nem valamilyen "öntudatra ébredt" MI volt. Egy olyan nagy nyelvi modellről van szó, amelyet megfelelő utasításokkal és automatizált munkafolyamatokkal láttak el. A különbség mégis jelentős, mert a támadás során nem kellett emberi beavatkozás a döntésekhez vagy a következő lépések végrehajtásához. Michael Clark, a Sysdig fenyegetéskutatási igazgatója szerint a legmegdöbbentőbb nem is maga a támadási technika, hanem a nagy nyelvi modell viselkedése volt.
A támadás első lépéseként a JadePuffer egy internet felől elérhető Langflow szervert vett célba. A Langflow egy népszerű nyílt forráskódú keretrendszer, amelyet sok fejlesztő használ nagy nyelvi modellekre épülő alkalmazások létrehozásához. A támadó a CVE-2025-3248 azonosítójú biztonsági hibát használta ki. Ez egy hitelesítés nélküli távoli kódfuttatást lehetővé tevő sérülékenység, amelynek segítségével tetszőleges Python kód futtatható a kiszolgálón anélkül, hogy a támadónak be kellene jelentkeznie. Miután bejutott a rendszerbe, az MI azonnal megkezdte az érzékeny adatok felkutatását. Nemcsak hagyományos jelszavakat keresett, hanem nagy nyelvi modellek API kulcsait, felhőszolgáltatások hitelesítési adatait, adatbázis hozzáféréseket, kriptovaluta pénztárcákat és különféle titkos kulcsokat is.
A kutatók szerint külön figyelemre méltó volt, hogy a keresés nem kizárólag nyugati szolgáltatókra terjedt ki. A JadePuffer célzottan kereste az Alibaba, az Aliyun, a Tencent és a Huawei felhőszolgáltatásainak hitelesítő adatait is, emellett az AWS, a Microsoft Azure és a Google Cloud Platform hozzáféréseit is vizsgálta. Miután megszerezte a számára hasznos információkat, az MI gondoskodott arról is, hogy hosszú távon bent maradhasson a rendszerben. Ennek érdekében létrehozott egy cron feladatot, amely harmincpercenként kapcsolatba lépett a támadók infrastruktúrájával, így a hozzáférés akkor sem veszett volna el, ha a rendszer egy részét helyreállítják.
A Langflow szerver azonban valójában csak ugródeszkaként szolgált. A valódi célpont egy különálló, szintén internet felől elérhető éles szerver volt, amely MySQL adatbázist és Alibaba Nacos konfigurációkezelő rendszert futtatott. A Nacos egy nyílt forráskódú szolgáltatásfelderítő és dinamikus konfigurációkezelő platform, amelyet elsősorban Alibaba felhős környezetében használnak mikroszolgáltatásos alkalmazások működtetésére. A JadePuffer root jogosultságú MySQL hitelesítő adatokkal csatlakozott ehhez a szerverhez. A Sysdig szerint egyelőre nem ismert, honnan származtak ezek az adatok. A kutatók ugyanakkor kiemelték, hogy nem a megtámadott vállalat rendszereiből lopták el őket.
Ezután az MI több különböző módszerrel támadta meg a Nacos rendszert. Felhasználta a CVE-2021-29441 azonosítójú jogosultságkezelési hibát, emellett képes volt érvényes JSON Web Tokent előállítani a Nacos alapértelmezett aláíró kulcsának felhasználásával. Miután teljes hozzáférést szerzett az adatbázishoz, egy hátsó kapuként működő rendszergazdai felhasználót is létrehozott közvetlenül a Nacos adatbázisában. Ezzel gyakorlatilag biztosította magának a későbbi visszatérést is.
A támadás következő szakaszában megtörtént maga a zsarolóvírus-funkció. Az MI a MySQL beépített AES titkosítási funkcióját használva titkosította a rendszer mind az 1342 Nacos konfigurációs elemét. Ezt követően automatikusan elkészítette a váltságdíjkövetelést, létrehozta a bitcoin tárcacímet, valamint megadott egy Proton Mail kapcsolattartási címet is. A zsarolóüzenet így kezdődött: "AZ ÖN ADATAI TITKOSÍTVA LETTEK. Az összes Nacos konfiguráció, a kitakart ügyféladatok és a kitakart személyes adatok AES-256 titkosítással kerültek titkosításra."
A történet azonban itt vett igazán különös fordulatot. A legtöbb zsarolóvírus célja az, hogy a támadó megőrizze a titkosítási kulcsot, így az áldozat fizetés után visszakaphatja adatait. A JadePuffer azonban nem így működött. A Sysdig kutatói szerint az MI először soronként kezdte törölni az adatokat, majd később már teljes adatbázis-sémákat semmisített meg. Mindezt úgy, hogy közben saját maga magyarázta el természetes nyelven, miért éppen az adott objektumot választotta célpontnak. A kutatók ezt "önmagát narráló" működésnek nevezték.
Clark szerint a JadePuffer által készített programkód különösen árulkodó volt. "Az önmagukat narráló programrészek természetes nyelvű érvelést, célpontok közötti prioritási sorrendet és olyan részletes megjegyzéseket tartalmaztak, amelyeket emberi operátorok ritkán írnak, a nagy nyelvi modellek által generált kód azonban szinte ösztönösen előállít." A rendszer ráadásul folyamatosan alkalmazkodott. Ha egy művelet nem sikerült elsőre, újrapróbálkozott módosított paraméterekkel. "Egy esetben egy sikertelen bejelentkezési kísérletből 31 másodperc alatt működő megoldást készített."
A legfontosabb következmény ugyanakkor az volt, hogy a támadás után az adatok már nem voltak helyreállíthatók. A JadePuffer ugyanis nem készített biztonsági másolatot a titkosított adatokról. Vagyis még akkor sem lehetett volna visszaállítani az adatbázist, ha az áldozat kifizeti a váltságdíjat. Ez alapvetően eltér a hagyományos zsarolóvírusoktól, ahol a támadók általában érdekeltek abban, hogy a fizetés után valóban visszaadják a hozzáférést, mert ez növeli a későbbi áldozatok fizetési hajlandóságát. A Sysdig szerint ez jól mutatja, hogy az MI nem mindig követi az emberi bűnözők "üzleti logikáját".
A kutatók hangsúlyozzák, hogy a JadePuffer nem alkalmazott különösebben kifinomult vagy eddig ismeretlen technikákat. Valamennyi felhasznált sérülékenység és módszer korábban is ismert volt. Az újdonságot az jelentette, hogy ezeket egyetlen nagy nyelvi modell önállóan kapcsolta össze egy teljes értékű zsarolóvírus-műveletté. Clark szerint ennek súlyos következményei lehetnek. "A zsarolóvírusok működtetéséhez szükséges tudásszint gyakorlatilag arra a költségre csökkent, amennyibe egy ilyen ügynök futtatása kerül. Ha pedig az ügynök ellopott hitelesítő adatokkal használ nagy nyelvi modelleket, akkor ez a költség a támadó számára gyakorlatilag a nullával egyenlő." Ez azt jelenti, hogy a jövőben olyan bűnözők is képesek lehetnek összetett kibertámadásokat indítani, akik korábban nem rendelkeztek megfelelő technikai tudással.
A Sysdig több azonnali védekezési lépést is javasol. A Langflow rendszereket mielőbb frissíteni kell a CVE-2025-3248 hibát javító verzióra, és semmiképpen sem szabad internet felől elérhetővé tenni a kódfuttatást lehetővé tevő végpontokat. A Nacos szolgáltatásokat szintén nem ajánlott közvetlenül az internetre kitenni. Az alapértelmezett token.secret.key kulcsot minden esetben le kell cserélni, és célszerű olyan verziót használni, amely ezt már kötelezővé teszi. A szakemberek azt is tanácsolják, hogy az MI munkafolyamatokat kiszolgáló szervereken lehetőség szerint ne tároljanak felhős hitelesítő adatokat vagy nagy nyelvi modellek API kulcsait.
A JadePuffer megjelenése valószínűleg csak a kezdet. Bár a mostani támadás technikailag nem volt különösebben kifinomult, világosan megmutatta, hogy a generatív MI már nem csupán segédeszközként jelenhet meg a kibertámadásokban, hanem teljes egészében átveheti a támadó szerepét is. Ez új korszakot nyithat a zsarolóvírusok fejlődésében, ahol a támadások gyorsabban, olcsóbban és emberi közreműködés nélkül hajthatók végre.
Az első teljesen automatizált, úgynevezett agentikus zsarolóvírus-támadást dokumentálta a Sysdig biztonsági vállalat kutatócsapata. A JadePuffer névre keresztelt támadó nem egyszerűen MI segítségével dolgozott, hanem egy nagy nyelvi modell önállóan hajtotta végre a teljes támadási láncot. Az MI feladata volt a célpont felderítése, a sérülékenységek kihasználása, a hitelesítési adatok felkutatása, a rendszerek kompromittálása, az adatok titkosítása, majd a zsarolóüzenet elkészítése is. A kutatók szerint ez mérföldkőnek számít a kibertámadások történetében, mert eddig minden ismert zsarolóvírus mögött emberek álltak, akik legfeljebb automatizált eszközöket használtak. Ezúttal azonban maga az MI működött operátorként.
A szakemberek ugyanakkor hangsúlyozzák, hogy a JadePuffer nem valamilyen "öntudatra ébredt" MI volt. Egy olyan nagy nyelvi modellről van szó, amelyet megfelelő utasításokkal és automatizált munkafolyamatokkal láttak el. A különbség mégis jelentős, mert a támadás során nem kellett emberi beavatkozás a döntésekhez vagy a következő lépések végrehajtásához. Michael Clark, a Sysdig fenyegetéskutatási igazgatója szerint a legmegdöbbentőbb nem is maga a támadási technika, hanem a nagy nyelvi modell viselkedése volt.
A támadás első lépéseként a JadePuffer egy internet felől elérhető Langflow szervert vett célba. A Langflow egy népszerű nyílt forráskódú keretrendszer, amelyet sok fejlesztő használ nagy nyelvi modellekre épülő alkalmazások létrehozásához. A támadó a CVE-2025-3248 azonosítójú biztonsági hibát használta ki. Ez egy hitelesítés nélküli távoli kódfuttatást lehetővé tevő sérülékenység, amelynek segítségével tetszőleges Python kód futtatható a kiszolgálón anélkül, hogy a támadónak be kellene jelentkeznie. Miután bejutott a rendszerbe, az MI azonnal megkezdte az érzékeny adatok felkutatását. Nemcsak hagyományos jelszavakat keresett, hanem nagy nyelvi modellek API kulcsait, felhőszolgáltatások hitelesítési adatait, adatbázis hozzáféréseket, kriptovaluta pénztárcákat és különféle titkos kulcsokat is.
A kutatók szerint külön figyelemre méltó volt, hogy a keresés nem kizárólag nyugati szolgáltatókra terjedt ki. A JadePuffer célzottan kereste az Alibaba, az Aliyun, a Tencent és a Huawei felhőszolgáltatásainak hitelesítő adatait is, emellett az AWS, a Microsoft Azure és a Google Cloud Platform hozzáféréseit is vizsgálta. Miután megszerezte a számára hasznos információkat, az MI gondoskodott arról is, hogy hosszú távon bent maradhasson a rendszerben. Ennek érdekében létrehozott egy cron feladatot, amely harmincpercenként kapcsolatba lépett a támadók infrastruktúrájával, így a hozzáférés akkor sem veszett volna el, ha a rendszer egy részét helyreállítják.
A Langflow szerver azonban valójában csak ugródeszkaként szolgált. A valódi célpont egy különálló, szintén internet felől elérhető éles szerver volt, amely MySQL adatbázist és Alibaba Nacos konfigurációkezelő rendszert futtatott. A Nacos egy nyílt forráskódú szolgáltatásfelderítő és dinamikus konfigurációkezelő platform, amelyet elsősorban Alibaba felhős környezetében használnak mikroszolgáltatásos alkalmazások működtetésére. A JadePuffer root jogosultságú MySQL hitelesítő adatokkal csatlakozott ehhez a szerverhez. A Sysdig szerint egyelőre nem ismert, honnan származtak ezek az adatok. A kutatók ugyanakkor kiemelték, hogy nem a megtámadott vállalat rendszereiből lopták el őket.
Ezután az MI több különböző módszerrel támadta meg a Nacos rendszert. Felhasználta a CVE-2021-29441 azonosítójú jogosultságkezelési hibát, emellett képes volt érvényes JSON Web Tokent előállítani a Nacos alapértelmezett aláíró kulcsának felhasználásával. Miután teljes hozzáférést szerzett az adatbázishoz, egy hátsó kapuként működő rendszergazdai felhasználót is létrehozott közvetlenül a Nacos adatbázisában. Ezzel gyakorlatilag biztosította magának a későbbi visszatérést is.
A támadás következő szakaszában megtörtént maga a zsarolóvírus-funkció. Az MI a MySQL beépített AES titkosítási funkcióját használva titkosította a rendszer mind az 1342 Nacos konfigurációs elemét. Ezt követően automatikusan elkészítette a váltságdíjkövetelést, létrehozta a bitcoin tárcacímet, valamint megadott egy Proton Mail kapcsolattartási címet is. A zsarolóüzenet így kezdődött: "AZ ÖN ADATAI TITKOSÍTVA LETTEK. Az összes Nacos konfiguráció, a kitakart ügyféladatok és a kitakart személyes adatok AES-256 titkosítással kerültek titkosításra."
A történet azonban itt vett igazán különös fordulatot. A legtöbb zsarolóvírus célja az, hogy a támadó megőrizze a titkosítási kulcsot, így az áldozat fizetés után visszakaphatja adatait. A JadePuffer azonban nem így működött. A Sysdig kutatói szerint az MI először soronként kezdte törölni az adatokat, majd később már teljes adatbázis-sémákat semmisített meg. Mindezt úgy, hogy közben saját maga magyarázta el természetes nyelven, miért éppen az adott objektumot választotta célpontnak. A kutatók ezt "önmagát narráló" működésnek nevezték.
Clark szerint a JadePuffer által készített programkód különösen árulkodó volt. "Az önmagukat narráló programrészek természetes nyelvű érvelést, célpontok közötti prioritási sorrendet és olyan részletes megjegyzéseket tartalmaztak, amelyeket emberi operátorok ritkán írnak, a nagy nyelvi modellek által generált kód azonban szinte ösztönösen előállít." A rendszer ráadásul folyamatosan alkalmazkodott. Ha egy művelet nem sikerült elsőre, újrapróbálkozott módosított paraméterekkel. "Egy esetben egy sikertelen bejelentkezési kísérletből 31 másodperc alatt működő megoldást készített."
A legfontosabb következmény ugyanakkor az volt, hogy a támadás után az adatok már nem voltak helyreállíthatók. A JadePuffer ugyanis nem készített biztonsági másolatot a titkosított adatokról. Vagyis még akkor sem lehetett volna visszaállítani az adatbázist, ha az áldozat kifizeti a váltságdíjat. Ez alapvetően eltér a hagyományos zsarolóvírusoktól, ahol a támadók általában érdekeltek abban, hogy a fizetés után valóban visszaadják a hozzáférést, mert ez növeli a későbbi áldozatok fizetési hajlandóságát. A Sysdig szerint ez jól mutatja, hogy az MI nem mindig követi az emberi bűnözők "üzleti logikáját".
A kutatók hangsúlyozzák, hogy a JadePuffer nem alkalmazott különösebben kifinomult vagy eddig ismeretlen technikákat. Valamennyi felhasznált sérülékenység és módszer korábban is ismert volt. Az újdonságot az jelentette, hogy ezeket egyetlen nagy nyelvi modell önállóan kapcsolta össze egy teljes értékű zsarolóvírus-műveletté. Clark szerint ennek súlyos következményei lehetnek. "A zsarolóvírusok működtetéséhez szükséges tudásszint gyakorlatilag arra a költségre csökkent, amennyibe egy ilyen ügynök futtatása kerül. Ha pedig az ügynök ellopott hitelesítő adatokkal használ nagy nyelvi modelleket, akkor ez a költség a támadó számára gyakorlatilag a nullával egyenlő." Ez azt jelenti, hogy a jövőben olyan bűnözők is képesek lehetnek összetett kibertámadásokat indítani, akik korábban nem rendelkeztek megfelelő technikai tudással.
A Sysdig több azonnali védekezési lépést is javasol. A Langflow rendszereket mielőbb frissíteni kell a CVE-2025-3248 hibát javító verzióra, és semmiképpen sem szabad internet felől elérhetővé tenni a kódfuttatást lehetővé tevő végpontokat. A Nacos szolgáltatásokat szintén nem ajánlott közvetlenül az internetre kitenni. Az alapértelmezett token.secret.key kulcsot minden esetben le kell cserélni, és célszerű olyan verziót használni, amely ezt már kötelezővé teszi. A szakemberek azt is tanácsolják, hogy az MI munkafolyamatokat kiszolgáló szervereken lehetőség szerint ne tároljanak felhős hitelesítő adatokat vagy nagy nyelvi modellek API kulcsait.
A JadePuffer megjelenése valószínűleg csak a kezdet. Bár a mostani támadás technikailag nem volt különösebben kifinomult, világosan megmutatta, hogy a generatív MI már nem csupán segédeszközként jelenhet meg a kibertámadásokban, hanem teljes egészében átveheti a támadó szerepét is. Ez új korszakot nyithat a zsarolóvírusok fejlődésében, ahol a támadások gyorsabban, olcsóbban és emberi közreműködés nélkül hajthatók végre.