Современный киберландшафт впервые столкнулся с вирусами, которые активно используют искусственный интеллект (ИИ) для изменения собственного кода и обхода привычных защитных механизмов. Специалисты в сфере IT и кибербезопасности бьют тревогу: методы работы изменились, и классические подходы к защите нуждаются в оперативной доработке. Подробности — в материале «Известий».
Вредоносный код нового типа: каким образом ИИ заставляет вирусы мутироватьПо данным Google, вредоносные программы с элементами ИИ обретяют дополнительные возможности уходить от традиционных антивирусов за счет постоянного переписывания своего кода. Один из таких образцов, PromptFlux, систематически обращается к облачному сервису Gemini через API, чтобы модифицировать свою структуру и оставаться незамеченным.
Хотя подход пока носит экспериментальный характер, уже есть реальные случаи. Так, PromptSteal притворяется генератором изображений и незаметно выполняет команды для сбора конфиденциальной информации с пользовательских машин. А QuietVault, попав на сервер, использует доступные там ИИ-инструменты для выемки паролей, ключей шифрования и прочих секретных данных.
Новые образцы обращаются к облачным ИИ-сервисам, маскируются под безобидные приложения и задействуют продвинутые промпты, чтобы обходить ограничения. Злоумышленники, например, проверяют разные варианты команд для нейросетей, прикидываясь студентами, пишущими курсовые или участвующими в конкурсах.
Технологии превращают вредоносные программы в живые системы, способные менять «облики» в реальном времени.
Аналитики Google отмечают: такое поведение набирает обороты и становится массовым явлением в ряде стран.
«Известия» обратились с запросами в Роскомнадзор и ФСТЭК России.
Как распознать «умный» вирус: основные признаки и характерные действияСпециалисты фиксируют повышенную адаптивность таких вредоносных программ и усложненность их детекции. По словам руководителя продукта Solar webProxy Анастасии Хвещеник, классические антивирусы зачастую бессильны, так как ориентированы на базы известных угроз. Но «песочницы» и современные системы анализа сетевого трафика могут выявлять подозрительные проявления: аномально высокий исходящий трафик, обращения к необычным доменам и подозрительные DNS-запросы.
Технический pre-sale-эксперт Центра компетенций сетевой безопасности «Софтлайн Решения» Кристиан Олейник добавляет, что «умные» вирусы трансформируют свое поведение и структуру кода, создают временные скрипты и имитируют системные процессы. Они регулярно обращаются к неизвестным доменам и API, что свидетельствует об автоматизированной переработке вредоносного функционала.
Эксперт подчеркивает, что традиционные сигнатурные методы обнаружения здесь бесполезны, ведь вирусы подстраиваются под ожидания защиты, выглядят «чистыми» и требуют настоящего поведенческого анализа.
Генеральный директор iTProtect Андрей Мишуков указывает, что у нейрокибератак нет явных и однозначных индикаторов. «Умный» вирус можно распознать по косвенным аномалиям: хаотичному, но целенаправленному сетевому трафику, внезапному росту нагрузки на память и процессор без очевидных причин и повторяемым попыткам вторжения с изменяющимся поведением.
Такие вирусы «живут» внутри системы, постоянно эволюционируя, чтобы оставаться незаметными.
Готовность отечественной индустрии и рекомендуемые меры профилактикиОтечественная IT-индустрия активно пытается ответить на новую волну атак. Директор по ИИ «Группы Астра» Станислав Ежов поясняет, что российские антивирусы уже применяют ИИ для анализа поведения зловредов, а система Astra Linux добавляет уровень защиты, ограничивая выполнение опасных команд даже при факте проникновения.
Он советует простые и действенные меры: включать двухфакторную аутентификацию, использовать российские антивирусные решения с регулярными обновлениями и мониторить файл hosts на предмет подмены адресов.
По мнению архитектора информационной безопасности UserGate Дмитрия Овчинникова, современные отечественные антивирусы с эвристическим анализом умеют находить новые угрозы по характеру их поведения, даже если код постоянно меняется. Важны актуальные базы и соблюдение цифровой гигиены.
Руководитель отдела технической поддержки TrueConf Руслан Мартьянов настаивает на переходе от классических методов к поведенческому анализу и на применении средств, отслеживающих сетевой трафик и аномальные запросы к ИИ-сервисам. Он приводит меткую аналогию: противостояние ИИ-вирусам похоже на шахматы с оппонентом, который меняет правила в ходе партии.
Старший научный сотрудник НГУ Глеб Попков перечисляет способы борьбы с вирусами нового поколения: эвристический анализ, «песочницы», поведенческий мониторинг и разделение программных сред, как реализовано в Astra Linux. Попков обращает внимание на то, что отечественные продукты, например Comodo Internet Security, уже способны эффективно противостоять таким угрозам.
Рекомендации для пользователей и компаний: как защититься от ИИ-вирусовНесмотря на сложность угрозы, доступны понятные рекомендации. Генеральный директор компании Security Vision Руслан Рахметов отмечает, что последствия атак с ИИ-вирусами схожи с привычными: кража данных, вымогательство и шифрование.
— Вирусы маскируются и применяют украденные или купленные API-ключи, чтобы незаметно и на лету генерировать код, — говорит он.
Решения классов EDR/XDR помогают фиксировать конечные действия вредоносных программ по последовательности событий, а профилактика предполагает проверку источников файлов и использование цифровых подписей.
Руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин советует бизнесу отслеживать запросы к API языковых моделей и внедрять механизмы контроля приложений.
— Для всех пользователей важны классические правила: своевременное обновление ПО, осторожное поведение в Сети и недоверие к неизвестным источникам, — подчеркнул эксперт.