Пингвин под угрозой: TrendMicro заставили ИИ изучить вредоносы для Linux — и нашли новый

Компания TrendMicro обнаружила ранее неизвестный бэкдор для Linux. Вредоносное программное обеспечение написано на C++ и способно на удаленный доступ к командной оболочке, оно получило название GhostPenguin. Найти его удалось с помощью разработанного в TrendMicro «автоматизированного конвейера поиска угроз» — ИИ собрал и изучил образцы вредоносного ПО из известных атак. Затем он извлек артефакты, которые помогли бы выявить новые, неизвестные угрозы, следует из сообщения компании.

Как пишет TrendMicro, GhostPenguin дает удаленный доступ к командной оболочке и предоставляет возможность комплексных операций с файловой системой через UDP-канал (User Datagram Protocol, один из ключевых элементов набора сетевых протоколов) с шифрованием RC5. RC5 — это блочный шифр с переменным количеством раундов, длиной блока и длиной ключа. В TrendMicro отмечают, что этот бэкдор не был ранее задокументирован, он обладает низким уровнем обнаружения.

Обнаружить его удалось с помощью сбора и анализа образцов вредоносного ПО с нулевым уровнем обнаружения в VirusTotal. При расследовании была выстроена структурированная база данных извлеченных артефактов, затем использовалось ИИ для автоматизированного профилирования.

Продолжение ниже

«Этот подход позволил извлечь артефакты из тысяч образцов вредоносного ПО, сгенерировать структурированные профили, а также использовать пользовательские правила YARA (инструмент для поиска и классификации вредоносного ПО, — Прим. ред.) и запросы VirusTotal для выявления необнаруженных угроз, таких как GhostPenguin», — указывает в своем отчете TrendMicro.

Целый ряд российских разработчиков выстраивает собственные ОС на базе Linux. Среди наиболее известных производителей — «Ред Софт» (Red OS), «Группа Астра» (Astra Linux), «РОСА» и другие. По итогам 2024 года объем российского рынка отечественных операционных систем, представленных преимущественно дистрибутивами Linux, составил 12,5 млрд руб. При этом, по оценке J’son & Partners Consulting, к концу прошлого года в России действовало около 9 млн лицензий на отечественные ОС. Более половины из них приходилось на платформы «Группа Астра», а «Ред Софт» стремительно укрепляла позиции.

В компаниях «Астра» и «Ред Софт» не смогли прокомментировать находку TrendMicro, однако «РОСА» предоставили свою точку зрения.

В ответе на запрос отмечается, что GhostPenguin — это важная находка, поскольку является одной из первых серьезных вредоносных программ под Linux, которая была обнаружена с помощью ИИ. В компании подчеркнули, что этот пример показывает, на сколько сильным вспомогательным инструментом становится эта технология.

Вредоносы под Linux встречаются относительно редко, и в «РОСА» отмечают, что при разработке ОС ставят себе задачу усложнить любое проникновение вредоносных программ в систему. Другой вектор — дать администратору удобные и эффективные средства защиты. «Для этого мы встраиваем механизмы вроде IMA и FAPolicyD, позволяющие полностью запретить запуск неподписанных или недоверенных исполняемых файлов», — отмечают в компании.

Бэкдоры, аналогичные GhostPenguin, представляют риск воровства или повреждения пользовательских данных. Также они могут послужить базой для дальнейших атак, если бэкдор собирает информацию о сетевом окружении корпоративной инфраструктуры. «При этом многим современным вредоносным программам вовсе не нужно получать root-права. Для кражи или шифрования данных достаточно прав обычного пользователя, а они по умолчанию есть у большинства программ», — следует из ответа компании.

Среди факторов, которые повышают безопасность отечественного рынка от столкновения с GhostPenguin, отмечают в «РОСА», является переход на отечественные процессоры. GhostPenguin распространяется только в вариантах для архитектур x86 и x86-64. В России развиваются и используются процессоры на архитектурах ARM (Байкал), E2K (Эльбрус), а также готовятся к выпуску системы на архитектуре LongArch. «»РОСА» поддерживает все эти аппаратные платформы, и, например, репозиторий РОСА 13 и будущая корпоративная операционная система Хром-13 уже собраны под LongArch, Байкал и Эльбрус», — отмечают в компании.

Однако после начала военных действий на Украине тайваньское предприятие по производству процессоров TSMC, на котором производились «Байкалы», «Эльбрусы», «Элвис» и другие отказалась сотрудничать с российскими компаниями, сообщал The Washington Post.
На данный момент в РФ нет возможности производить процессоры, которые способны конкурировать с иностранными Intel и AMD. Большинство отечественных процессоров, печатающихся на TSMC производились по топологии 16 Нм, в РФ на данный момент освоена технология 180 и 90 Нм на «Микроне» (принадлежит ГК «Элемент»). 180-90 Нм позволяет выпускать чипы для транспортных карт, оборудования интернета вещей, а также узкую номенклатуру процессоров общего назначения.

Директор «Базальт СПО» Алексей Смирнов, в комментарии для SecPost отметил, что TrendMicro, по сути с помощью искусственного интеллекта создал новый инструмент для будущих атак на системы Linux. Инструмент компании позволяет находить новые уязвимости в Linux, но это может использоваться не только с целью увеличения безопасности ОС, но и для атакующих действий.