Linuxベースのクラウドサーバーを標的とする、最近発見されたLinuxマルウェア「VoidLink」は、ほぼ全体がAIによって生成された可能性が高いと研究者らは述べた。
先週、Check Pointのサイバーセキュリティアナリストが初めて詳細を報告したこの新たなマルウェアは、30以上のモジュール式プラグインで構成され、Linuxシステムへの長期的なアクセスを維持するよう設計されている。
当初は、VoidLinkの高度さとモジュール性、そして急速なペースで開発された手法から、潤沢なリソースを持つ経験豊富なサイバー犯罪組織の犯行だと考えられていた。
しかし追加分析の結果、Check Point Researchは、VoidLinkは主にAIによって構築され、おそらく1人の指揮の下で作られたと結論づけた。AIおよびAIエージェントは単にコードを書くためだけでなく、プロジェクト全体の計画、構造化、実行にまで用いられていた。
「VoidLinkは、待ち望まれていた高度なAI生成マルウェアの時代が、おそらく始まったことを示している」とCheck Pointのブログ投稿は述べている。
「経験豊富な個人の脅威アクターやマルウェア開発者の手にかかれば、AIは、高度で経験豊富な脅威グループが作成したものに似た、洗練され、ステルス性が高く、安定したマルウェアフレームワークを構築できる。」
研究者がVoidLinkの構築にAIが関与していると気づく上で重要だったのは、プロジェクトに付随していた開発計画であり、開発者が誤って露出させたものだった。
そこには、スプリント、設計アイデア、タイムラインに関する計画文書が含まれており、30週間分の開発を示していた。
しかし研究者らは、VoidLinkの進化の観察から、実際にははるかに短い期間、わずか4週間でリリースされたことを示唆しており、開発計画がAIモデルによって生成され、統括されていた明確な兆候があると指摘している。
「AIが作成した文書は通常、非常に綿密であるため、これらの成果物の多くにはタイムスタンプが付され、異例なほど多くの情報が明らかになっていた。これらは、1週間にも満たないうちに、単独の個人がVoidLinkを概念から、動作し進化する現実へと推し進めた可能性が高いことを示している」とCheck Pointは述べた。
また、開発者がAIエージェントに与えた当初のプロンプトは、VoidLinkを直接構築することに基づくものではなく、初期の骨格設計の周辺に、後にマルウェアとなるものを作り出すことに基づいていたことも観察された。研究者らは、これは開発者がAIツールのガードレールを試していた可能性があると示唆している。
開発者はまた、定期的なチェックポイントを活用してAI生成コードを確認し、モデルが指示どおりに開発していること、そしてコードが動作することを確かめていた。
その結果、VoidLinkを最初に詳細化した研究者らが「洗練され、現代的で、機能が豊富」と評したマルウェアが生み出された。
いまや、このマルウェアがAIの強い関与のもとで作成されたことが判明したことで、研究者らは、これはマルウェア開発およびサイバー脅威への防御における転換点を示すものだと示唆している。
「セキュリティコミュニティは長らく、AIが悪意あるアクターにとっての戦力増強要因になると予期してきた。しかしこれまで、AI主導の活動の最も明確な証拠は、主として低い洗練度の作戦で表面化しており、しばしば経験の浅い脅威アクターに結び付けられ、通常の攻撃を超えて意味のある形でリスクを高めるものではなかった」とCheck Pointは述べた。
ブログ投稿は、「VoidLinkはその基準を押し上げる。AIが有能な開発者の手に渡ったとき、その洗練度は、深刻な攻撃能力が生み出される速度と規模の双方を実質的に増幅し得ることを示している」と結論づけている。
翻訳元: https://www.infosecurity-magazine.com/news/voidlink-linux-malware-built-using/
