Giriş
Son dönemde siber saldırganlar, yanlış yapılandırılmış proxy sunucuları hedef alarak ticari büyük dil modeli (LLM) hizmetlerine erişim sağlama çabası içerisindeler. Bu tür saldırıların artışı, hem veri güvenliğini hem de sistemlerin bütünlüğünü tehlikeye atmakta.
Saldırı Nasıl Çalışıyor?
Saldırganlar, güvenlik uyarılarını tetiklememek için düşük gürültü profiline sahip sorgular kullanarak LLM uç noktalarını denemektedirler. GreyNoise güvenlik platformunun raporuna göre, saldırganlar toplamda 91,403 saldırı gerçekleştirmiş, bunlar iki farklı kampanyanın parçası olarak kaydedilmiştir.
Bir kampanya, Aralık 28‘de başlamış olup, 73 LLM uç noktasını hedef almıştır. Çalışmalar sırasında, saldırganlar açık kaynaklı olanlar dahil OpenAI, Anthropic, Meta, Google ve diğer büyük tedarikçilerin modellerini denemiştir. Hedeflenen modeller arasında:
- OpenAI (GPT-4o ve varyantları)
- Anthropic (Claude Sonnet, Opus, Haiku)
- Meta (Llama 3.x)
- DeepSeek (DeepSeek-R1)
- Google (Gemini)
- Mistral
- Alibaba (Qwen)
- xAI (Grok)
Saldırganlar, zararsız görünen sorgularla erişim testleri yaparak güvenlik uyarılarını tetiklememeye özen göstermektedir.
Etkilenen Sistemler
Elde edilen telemetri verileri, kampanyanın 27 ülkede bulunan 62 IP adresinden kaynaklandığını göstermektedir. Bu IP’ler, yaygın bir botnet yerine VPS benzeri özellikler göstermektedir. Bu durum, siber saldırganların hedeflerine erişim sağlama amacıyla sistematik bir keşif yapmakta olduklarını ortaya koymaktadır.
Çözüm ve Korunma
Bu tür saldırılara karşı alınabilecek önlemler ve öneriler şunlardır:
- Ollama model çekimlerini yalnızca güvenilir kayıtlı alanlarla sınırlayın.
- Çıkış filtrasyonları uygulayın.
- Bilinmeyen OAST geri çağırma alanlarını DNS düzeyinde engelleyin.
- Şüpheli ASN’ler için oran sınırlaması yapın.
- Otomatik tarama araçlarıyla bağlantılı JA4 ağ parmak izlerini izleyin.
Siber güvenliğinizi sağlamak için sistemlerinizi düzenli olarak güncelleyin ve yukarıdaki önlemleri uygulayarak olası tehditlere karşı proaktif bir yaklaşım sergileyin.
Sonuç
İlgili sistem yöneticileri, LLM hizmetlerini güvence altına almak adına derhal güncellemeler yapmalı ve yukarıda belirtilen güvenlik önlemlerini uygulamalıdır. Unutmayın, tehdit aktörleri bu tür altyapıları haritalandırmadan önce plan yapma eğilimindedir. Dolayısıyla, bu tür faaliyetlere karşı hazırlıklı olmak hayati önem taşımaktadır.
