Cybercriminele handel in gestolen AI-rekenkracht ontdekt
Onderzoekers van Pillar Security hebben een grootschalige cybercampagne blootgelegd die specifiek gericht is op het kapen van AI-infrastructuur. De operatie, gedoopt tot 'Operation Bizarre Bazaar', is de eerste publiek gedocumenteerde campagne waarbij toegang tot gestolen taalmodellen (LLM's) op commerciële schaal wordt doorverkocht op illegale marktplaatsen.
Wat is LLMjacking?
De aanvalsmethode, ook wel LLMjacking genoemd, vertoont gelijkenissen met cryptojacking. Waar criminelen voorheen computerkracht stalen om cryptovaluta te minen, richten zij zich nu op onbeveiligde AI-endpoints (zoals Ollama of vLLM). De gestolen rekenkracht wordt gebruikt voor:
Het uitvoeren van dure AI-berekeningen op kosten van het slachtoffer.
De doorverkoop van API-toegang tegen bodemprijzen.
Het onderscheppen van gevoelige data uit conversatiegeschiedenissen.
Infiltratie van interne bedrijfssystemen via het Model Context Protocol (MCP).
De criminele keten: scannen, valideren en verkopen
Operation Bizarre Bazaar werkt via een georganiseerde toeleveringsketen. Een bot-netwerk scant het internet continu op zoek naar openstaande AI-poorten. Zodra een doelwit is gevonden, wordt de toegang gevalideerd door een entiteit genaamd silver.inc.
Vervolgens wordt deze toegang commercieel aangeboden op een "Unified LLM API Gateway". Hier kunnen andere criminelen met kortingen van 40% tot 60% gebruikmaken van meer dan 30 verschillende AI-providers. De betalingen verlopen via cryptovaluta en PayPal, terwijl de infrastructuur wordt gehost vanuit 'bulletproof' datacenters in Nederland.
De dader: "Hecker"
De onderzoekers herleidden de operatie naar een individu met het alias "Hecker" (ook bekend als Sakuya). Op het administratiepaneel van de marktplaats prijkt de tekst: "Hiii I'm Hecker". De infrastructuur vertoont sterke overlap met eerdere diensten die betrokken waren bij DDoS-aanvallen. Gemiddeld wordt een kwetsbaar bedrijf binnen twee tot acht uur na de eerste scan daadwerkelijk aangevallen.
Groot risico op bedrijfsspionage
Naast de hoge kosten voor ongewenst API-verbruik, waarschuwt Pillar Security voor diepere infiltratie. Sinds eind januari is 60% van het aanvalsverkeer gericht op MCP-servers. Omdat deze servers AI-modellen koppelen aan interne databases, bestandssystemen en cloud-API's (zoals Slack of GitHub), kan een enkel lek de deur openzetten naar de gehele bedrijfsomgeving.
Aanbevolen beveiligingsmaatregelen
Pillar Security adviseert organisaties om direct de volgende stappen te ondernemen:
- Authenticatie verplichten: Zorg dat elk AI-endpoint (zoals poort 11434 voor Ollama) beveiligd is met sterke inloggegevens.
- MCP-servers afschermen: Deze mogen nooit direct toegankelijk zijn vanaf het internet.
- Blokkeer schadelijke IP-reeksen: Voeg de subnetten van silver.inc (waaronder 204.76.203.0/24) toe aan de blokkeerlijsten.
- Rate limiting: Beperk het aantal verzoeken per seconde om misbruik door bots te bemoeilijken.
De dreiging is op dit moment nog steeds actief. "Criminelen kiezen de weg van de minste weerstand," aldus de onderzoekers. "Door basisbeveiliging toe te passen, maakt u uw infrastructuur simpelweg te duur en te lastig voor deze opportunistische handelaren."
Meer over cybercrime
Over Witold Kepinski
