ShadowRay 2.0 forvandler Ray-klynger til kryptomining-botnet

ShadowRay 2.0 forvandler Ray-klynger til kryptomining-botnet

ShadowRay 2.0-angreb udsætter Ray-klynger for en ny bølge af kryptomining og datatyveri. Nøgleordet indgår tidligt og naturligt i teksten. Trusselsaktører udnytter nu en mangeårig fejl i job-indsendelse til at køre ondsindede opgaver i distribuerede AI- og maskinlæringsmiljøer. Organisationer, der bruger Ray-klynger til forskning, træning eller storskala beregninger, står over for øget risiko, når kontrolgrænseflader efterlades eksponerede eller utilstrækkeligt sikrede.

Hvordan ShadowRay 2.0 fungerer

ShadowRay 2.0 udnytter en sårbarhed i Ray Jobs API, som gør det muligt for angribere at indsende vilkårlige opgaver uden autentificering. Når angriberen når det eksponerede interface, kan vedkommende indsende payloads, som klyngen automatisk planlægger og udfører på tværs af sine noder. Denne tilgang gør det muligt at overtage hele klyngen med ét enkelt skridt.

Efter at have fået kontrol spreder angriberen Bash- og Python-scripts mellem noderne. Payloaden installerer en optimeret kryptominer, typisk konfigureret til at skjule sig ved at maskere CPU- og GPU-forbrug. Mineren udnytter Rays distribuerede beregningslag til at maksimere output. De ondsindede scripts blokerer desuden konkurrerende minere ved at ændre host-regler eller firewall-opsætninger.

ShadowRay 2.0 stopper ikke ved mining. Payloaden åbner fjernskaller, udtrækker legitimationsoplysninger, kopierer proprietære AI-modeller og aflurer følsomme projektfiler. Visse varianter indeholder også DDoS-moduler, som forvandler Ray-noder til trafikgenererende botnet-komponenter. Da Ray håndterer arbejdsopgaver med høje privilegier, arver angriberen et kraftfuldt og højt betroet miljø.

Hvorfor angrebet er alvorligt

Ray-klynger driver AI-workflows, reinforcement-learning-træning, distribuerede Python-applikationer og databehandlingspipelines. Mange organisationer implementerer dem hurtigt og antager, at de kun er tilgængelige internt. ShadowRay 2.0 udnytter netop denne antagelse. Tusindvis af klynger kører på offentlige netværk eller dårligt segmenterede interne miljøer, hvilket gør det let for angribere at opnå adgang.

Når angribere omdanner en klynge til et kryptomining-botnet, falder ydeevnen, workflows bliver beskadigede, og organisationer rammes af økonomiske og operationelle tab. Når angribere får adgang til modeller og datasæt, stiger risikoen yderligere. Stjålne modeller kan indeholde proprietær forskning, immaterielle rettigheder eller følsomt træningsmateriale.

Hvad organisationer skal gøre

Organisationer, der driver Ray-klynger, skal handle straks:

  • Skan efter Ray-interfaces, som er offentligt tilgængelige, og isolér dem fra internettet.
  • Begræns port 8265 og andre kontrol-API’er til betroede interne zoner.
  • Aktivér autentificering på job-indsendelses-endpoints og administrationsinterfaces.
  • Gennemgå klyngens opgaver for mistænkelige indsendelser, usædvanlige navne eller gentagne planlægninger.
  • Undersøg noder for høj CPU/GPU-udnyttelse, ukendte processer eller ændrede cron-jobs.
  • Overvåg udgående trafik for tegn på mining-pools eller uautoriserede dataoverførsler.

Løbende overvågning er afgørende, fordi ShadowRay spreder sig via interne planlægningsmekanismer. Logging, telemetri og adfærdsbaserede alarmer hjælper teams med at reagere, før klyngen udvikler sig til et fuldt botnet.

Strategisk vurdering

ShadowRay 2.0 viser, hvordan angribere i stigende grad retter sig mod AI-infrastruktur frem for traditionelle servere. Moderne klynger kombinerer høj beregningskraft med svage adgangskontroller, hvilket gør dem til attraktive mål. Sikkerhedsteams skal behandle AI-systemer som forretningskritiske aktiver og indføre zero-trust-segmentering, stærk autentificering og hyppige revisioner af interne API’er.

Konklusion

ShadowRay 2.0-kampagnen forvandler Ray-klynger til kryptomining-botnet og platforme til datatyveri. Organisationer, der er afhængige af distribueret AI-infrastruktur, skal sikre deres miljøer, begrænse adgangen og overvåge for tegn på kompromittering. Hurtig handling beskytter beregningsressourcer, bevarer dataintegritet og forhindrer angribere i at udnytte kraftfulde klyngeøkosystemer.

Siyana Georgieva

0 svar til “ShadowRay 2.0 forvandler Ray-klynger til kryptomining-botnet”