Microsoft подала в суд на группировку, взломавшую Azure OpenAI ради генерации запрещённого контента

Microsoft начала судебное разбирательство против международной киберпреступной группы, которую компания обвиняет в разработке инструментов для обхода защитных механизмов Azure OpenAI Service. Иск подан в окружной суд США по Восточному округу Вирджинии. По версии Microsoft, группировка, отслеживаемая под именем Storm-2139, использовала украденные API-ключи, инфраструктуру реверс-прокси и собственное программное обеспечение, чтобы генерировать вредоносный контент — включая интимные изображения, созданные без согласия изображённых людей, — с помощью модели DALL-E.

Как злоумышленники получали доступ

Storm-2139 массово собирала API-ключи Azure OpenAI Service — 52-символьные буквенно-цифровые токены аутентификации — со взломанных аккаунтов клиентов, в том числе американских компаний из Пенсильвании и Нью-Джерси. Ключи похищали двумя способами: сбором учётных данных из публичных репозиториев и фишинговыми кампаниями. По данным расследования Microsoft, украденные ключи позволяли злоумышленникам выдавать себя за легитимных пользователей и обходить систему аутентификации Azure.

Для маскировки трафика группа развернула собственный сервис реверс-прокси под названием «oai-reverse-proxy», размещённый на доменах aitism.net и rentry.org/de3u. Запросы проходили через туннели Cloudflare, скрывая происхождение трафика, и обращались к эндпоинтам Azure API вида POST https://{endpoint}/openai/deployments/{deployment-id}/images/generations. Прокси подменял параметры запроса — адреса эндпоинтов и идентификаторы развёртывания, — чтобы обходить геофильтрацию и системы контентной модерации Microsoft.

Дополнительно использовался клиентский инструмент «de3u» — фронтенд для DALL-E 3, размещённый на GitHub. Он позволял вводить текстовые запросы в обход модерации: промпты, которые классификаторы Microsoft помечали как содержащие сексуальный или насильственный контент, редактировались с помощью строковых манипуляций — например, запрещённые ключевые слова заменялись на юникод-эквиваленты. Инструмент также отключал функцию «revised_prompt», которая по умолчанию очищает пользовательский ввод.

Обход многоуровневой защиты

Azure OpenAI Service использует несколько эшелонов защиты: нейросетевые классификаторы, обученные распознавать ненависть, насилие, сексуальный контент и самоповреждение на восьми языках с градацией серьёзности (safe/low/medium/high); систему мониторинга злоупотреблений, анализирующую паттерны API-вызовов и логи завершения промптов в реальном времени с проверкой людьми через защищённые рабочие станции (SAW); а также метаданные C2PA — значки Content Credentials, встраиваемые в сгенерированные изображения для подтверждения их ИИ-происхождения.

Инструменты Storm-2139 нейтрализовали эти меры: реверс-прокси перехватывал и вырезал метаданные CR из выходных изображений DALL-E, а асинхронная фильтрация использовалась для задержки модерации — вредоносные изображения успевали дойти до пользователей раньше, чем системы Azure могли их заблокировать.

Правовые последствия

89-страничный иск Microsoft ссылается на нарушения закона о компьютерном мошенничестве и злоупотреблениях (CFAA), закона об авторском праве в цифровую эпоху (DMCA) и закона о коррумпированных и находящихся под влиянием рэкетиров организациях (RICO). Суд санкционировал изъятие инфраструктуры, включая домен aitism.net и репозитории GitHub, где размещался de3u.

Инцидент подсвечивает уязвимости API-сервисов на базе ИИ: зависимость от сторонней инфраструктуры — злоумышленники эксплуатировали Cloudflare и IP-адреса AWS, что демонстрирует риски децентрализованных облачных экосистем, — а также уязвимость токенной модели биллинга: украденные ключи позволяли «красть токены» в промышленных масштабах, опустошая предоплаченные вычислительные кредиты жертв.

Microsoft призывает компании переходить на Entra ID (бывший Azure AD) для OAuth-аутентификации и регулярно аудировать использование API-ключей. Дело создаёт прецедент: ответственность по антихакерским законам теперь может нести не только конечный пользователь вредоносного инструмента, но и его разработчик. Участникам Storm-2139 грозит экстрадиция из Ирана, Великобритании, Гонконга и Вьетнама. По данным Microsoft, сервисом Azure OpenAI пользуются 18 000 организаций по всему миру — иск сигнализирует об усилении контроля за ролью ИИ в киберпреступности.

Источник: Cybersecurity News.