Хакеры обленились. Теперь вирусы за них пишет нейросеть (и оставляет в коде глупые комментарии)

Специалисты Ontinue разобрали новый вредоносный инструмент под названием VoidLink и пришли к необычному выводу. Похоже, что его управляющий модуль был создан не человеком, а системой генерации кода на базе искусственного интеллекта. При этом программа оказалась вполне рабочей и умеет скрытно закрепляться в Linux-средах, красть учетные данные и передавать их на удаленный сервер.

VoidLink представляет собой управляющий центр с возможностью собирать и создавать зараженные модули для серверов и облачных платформ. Исследователи изучили основной агент, который запускается на целевой системе и обеспечивает долгосрочный доступ. Внутри найдено много характерных признаков автоматически сгенерированного кода. В бинарном файле остались служебные пометки этапов и подробные отладочные сообщения. В нормальных вредоносных инструментах такие детали обычно удаляют, чтобы снизить риск обнаружения.

Агент умеет определять, где именно он запущен. Он проверяет, работает ли система в облаке, внутри контейнера или на обычном сервере, и подстраивает поведение под окружение. Поддерживается сразу несколько крупных облачных платформ. Вредоносная программа обращается к служебным интерфейсам метаданных, чтобы узнать регион, тип виртуальной машины и другие параметры среды.

Отдельный модуль занимается сбором учетных данных. Он ищет ключи доступа в переменных среды, файлах настроек и локальных хранилищах. Проверяются ключи удаленного доступа, данные систем контроля версий, история команд оболочки и сохраненные данные браузеров. В контейнерных средах программа пытается извлечь служебные токены оркестрации, которые могут дать расширенные права внутри кластера.

При обнаружении контейнера загружаются дополнительные модули для выхода за его пределы и повышения привилегий. Также в составе VoidLink есть набор средств скрытия на уровне ядра системы. Способ маскировки выбирается в зависимости от версии ядра Linux. Используются разные техники, от перехвата системных вызовов до подмены библиотек в пользовательском режиме.

Связь с управляющим сервером шифруется и маскируется под обычный веб-трафик. Обмен данными идет по протоколу HTTPS, а запросы выглядят как обращения к обычным программным интерфейсам. Это затрудняет обнаружение при сетевом анализе. В образце найден жестко заданный сетевой адрес управляющего узла.

Исследователи обратили внимание на стиль реализации. В коде слишком много подробных служебных сообщений, формальных отметок об успешной инициализации и разметки этапов работы. Некоторые этапы пронумерованы с ошибками и пропусками. Такие артефакты характерны для генерации по частям без последующей ручной вычитки. Опытные авторы вредоносных программ обычно, наоборот, убирают лишние комментарии и диагностику.

Специалисты считают, что VoidLink показывает новую тенденцию. Полноценные вредоносные модули для серверов и облаков теперь можно собрать заметно быстрее с помощью систем генерации кода. Порог входа снижается, а значит подобных инструментов в атаках, скорее всего, станет больше. Для защитных команд это сигнал внимательнее отслеживать необычные и «слишком аккуратно задокументированные» вредоносные образцы.