VoidLink, недавно обнаруженное вредоносное ПО для Linux, нацеленное на облачные среды жертв с помощью 37 вредоносных плагинов, было сгенерировано «почти полностью искусственным интеллектом» и, вероятно, разработано всего одним человеком, по данным исследовательской группы, обнаружившей этот многофункциональный имплант.
На прошлой неделе команда Check Point Research опубликовала отчет о ранее не встречавшихся образцах вредоносного ПО, первоначально обнаруженных в декабре, и заявила, что это, по всей видимости, находящийся в разработке фреймворк, а не полностью готовый к эксплуатации инструмент, который появился в среде разработки с китайским участием.
Он предназначен для работы в облачных средах на базе Linux и автоматически сканирует и обнаруживает AWS, Google Cloud Platform, Microsoft Azure, Alibaba и Tencent.
Кроме того, он напичкан кастомными загрузчиками, имплантами, руткитами и многочисленными модулями, которые предоставляют злоумышленникам весь спектр скрытых возможностей для обеспечения операционной безопасности, что делает его «значительно более продвинутым, чем типичное вредоносное ПО для Linux», — отмечают в Check Point.
В новом аналитическом отчете, опубликованном во вторник, специалисты по безопасности заявили, что вредоносное ПО, несмотря на первоначальное впечатление, вряд ли является продуктом большой и хорошо обеспеченной команды разработчиков. Вместо этого, по мнению Check Point Research, VoidLink был создан почти полностью с помощью ИИ, вероятно, под руководством одного человека, а артефакты разработки свидетельствуют о том, что первый функциональный имплант был готов менее чем за неделю.
«VoidLink демонстрирует, что долгожданная эра изощренного вредоносного ПО, генерируемого ИИ, вероятно, началась», — написали охотники за угрозами.
Команда пришла к такому выводу после того, как заметила, что запланированный 30-недельный срок разработки, просочившийся из внутренних документов VoidLink, не соответствовал наблюдаемому графику, который указывал на гораздо более быстрый процесс.
«Более глубокое расследование выявило явные артефакты, указывающие на то, что сам план разработки был сгенерирован и оркестрован моделью ИИ, и что он, вероятно, использовался в качестве чертежа для создания, выполнения и тестирования фреймворка», — говорится в отчете, где отмечается, что артефакты с отметками времени показали эволюцию VoidLink от концепции до функционального вредоносного ПО менее чем за неделю.
Разработчик начал работу над VoidLink в конце ноября и использовал Trae Solo — ИИ-ассистент, встроенный в интегрированную среду разработки Trae — для создания инструкции на китайском языке. Индивидуум не просил ИИ-агент создать вредоносное ПО напрямую. Фактически, он инструктировал модель не реализовывать код и не предоставлять технические детали о методах создания вредоносного ПО, что могло быть попыткой манипулировать ИИ для обхода его защитных механизмов.
Кроме того, документация по сопоставлению репозитория кода предполагает, что модели была предоставлена минимальная кодовая база в качестве отправной точки для вредоносного ПО, и эта отправная точка была полностью переписана от начала до конца.
Исследователи Check Point также обнаружили план работ на китайском языке для трех команд разработки: основной команды (использующей язык программирования Zig), команды арсенала (C) и команды бэкенда (Go).
Документация, которая, по мнению специалистов по безопасности, «несет все признаки большой языковой модели», включает графики спринтов, разбивки функций и руководства по кодированию.
Хотя это упражнение было представлено модели как 30-недельный инженерный проект, документы с отметками времени показывают, что на разработку 88 000 строк кода ушло всего шесть дней, после чего оно было загружено на VirusTotal 4 декабря, и именно тогда началось исследование Check Point.
По мнению команды по поиску вредоносного ПО, это указывает на то, что ИИ — при использовании квалифицированным разработчиком — может быстрее и в больших масштабах создавать изощренные инструменты для наступательной безопасности, без финансирования и других ресурсов, которые обычно ассоциируются только с опытными группами угроз.
Это не полностью автономная атака, управляемая ИИ. Но это показывает, что ИИ-агенты могут помогать людям создавать очень способные и скрытные инструменты для злонамеренных целей. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
