A Vingança das Máquinas: Botnet de IA Ataca seus Próprios Criadores

No meu trabalho como um arqueólogo digital, eu já vi de tudo. Sistemas COBOL mais velhos que eu rodando transações bancárias de um país inteiro, mainframes que zumbem com a sabedoria de décadas. Eles têm algo em comum: foram construídos em uma era onde a segurança era uma muralha. Hoje, no entanto, parece que a história se tornou um círculo vicioso. Uma nova e sofisticada botnet, batizada de ShadowRay 2.0, está nos mostrando que a tecnologia mais avançada do planeta, a Inteligência Artificial, pode ser derrubada por um dos erros mais antigos da computação: uma porta deixada aberta.

O alvo é o Ray, um framework de código aberto desenvolvido pela Anyscale e agora mantido pela PyTorch Foundation, da Linux Foundation. Pense nele como um maestro para orquestras de IA, usado por gigantes como Amazon, Apple e OpenAI para escalar suas aplicações. O problema é que, segundo pesquisadores da empresa de segurança Oligo, mais de 230.000 desses 'maestros' estão regendo suas orquestras com as portas do teatro escancaradas para a internet.

O Fantasma na Máquina (de IA)

O coração do problema é uma vulnerabilidade de execução remota de código, a CVE-2023-48022, com uma nota de criticidade de 9.8 de 10. Mas aqui vem a piada (sem graça, eu sei): tecnicamente, não é um bug. A Anyscale, criadora do Ray, argumenta que o framework foi projetado para operar em um "ambiente de rede estritamente controlado". Em outras palavras, ele não tem mecanismos de autenticação em seu painel de controle por padrão. É como projetar uma porta sem fechadura e justificar dizendo que a casa deveria ter sido construída dentro de um cofre. A realidade, como mostram os dados, é que milhares de empresas colocaram suas 'casas' em mar aberto.

Essa 'brecha de design' permite que qualquer um com acesso ao painel envie 'trabalhos' para o cluster de IA executar. E é exatamente isso que um grupo rastreado como IronErn440 está fazendo em escala industrial.

Conheça o ShadowRay 2.0: Mais Inteligente e Autônomo

A campanha ShadowRay 2.0 é a evolução de uma onda de ataques observada entre 2023 e 2024. De acordo com o relatório da Oligo, esta nova versão é mais sofisticada e representa uma evolução significativa. Os atacantes transformaram as próprias funcionalidades de orquestração do Ray em uma arma para criar uma botnet autorreplicante que se espalha de um cluster vulnerável para outro, de forma autônoma.

A ironia suprema? A análise do código malicioso sugere que os payloads foram gerados com a ajuda de Grandes Modelos de Linguagem (LLMs). É a IA sendo usada para criar o malware que ataca a infraestrutura de IA. Os atacantes primeiro usaram o GitLab para hospedar seus payloads, mas após a remoção da conta, migraram para o GitHub. Segundo a Oligo, mesmo quando uma conta no GitHub é bloqueada, os operadores do ShadowRay 2.0 criam uma nova e retomam a campanha em questão de horas, indicando um alto nível de automação.

Não é só sobre Monero: Roubo de Dados e DDoS

Embora a mineração de criptomoedas seja o objetivo principal, as ambições do ShadowRay 2.0 vão muito além. Uma vez dentro de um cluster, o malware é surpreendentemente metódico:

  • Mineração Discreta: Utiliza o conhecido XMRig para minerar a criptomoeda Monero, mas limita o uso de CPU e GPU a 60% para não levantar suspeitas. Ele também identifica e encerra processos de mineradores rivais. Educado, mas possessivo.
  • Roubo de Segredos Industriais: O malware abre múltiplos shells reversos, dando aos atacantes controle interativo sobre os sistemas. Isso permite a exfiltração de dados valiosos. Em uma das instâncias investigadas pela Oligo, os pesquisadores encontraram um servidor comprometido com um volume de rede contendo 240 GB de código-fonte, modelos de IA e conjuntos de dados. Basicamente, anos de trabalho de uma empresa, expostos.
  • Plataforma de Ataque: O botnet pode ser usado para lançar ataques de negação de serviço (DDoS) usando a ferramenta Sockstress, transformando os poderosos clusters de IA em armas contra outros alvos na internet.

Uma Falha Órfã? A Batata Quente da Correção

Como a vulnerabilidade é considerada uma característica de design, não há uma correção oficial disponível. A recomendação da Anyscale e da comunidade é clara: não exponha o painel do Ray (que opera na porta padrão 8265) à internet. Proteja seus clusters com firewalls, políticas de segurança e adicione camadas de autenticação. A responsabilidade, no fim das contas, recai sobre quem implementa a tecnologia.

O caso do ShadowRay 2.0 serve como um conto de advertência para a era da IA. A pressa para inovar e implantar novas tecnologias muitas vezes deixa para trás os princípios mais básicos de segurança que aprendemos nas últimas décadas. Estamos construindo arranha-céus tecnológicos sobre fundações que, às vezes, são frágeis como um castelo de cartas. E como qualquer bom arqueólogo sabe, as civilizações que ignoram as lições do passado estão destinadas a se tornarem ruínas para outros estudarem.