Эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис» Ирина Дмитриева рассказала, что злоумышленники использовали скомпрометированную инфраструктуру, включая официальный сайт Rubick.ai — коммерческой ИИ-платформы, обслуживающей свыше 200 крупных розничных брендов. Это представляет серьёзную угрозу для безопасности ИИ-инфраструктуры.
«Для распространения вредоноса использовались уязвимости ComfyUI, — пояснила Дмитриева. — Злоумышленники распространяли исполняемые файлы формата ELF, замаскированные под конфигурационные файлы (включая config.json, tmux.conf и vim.json). При запуске с root-привилегиями PickAI создает пять идентичных копий себя в различных системных каталогах. Каждая копия имеет синхронизированные временные метки модификации, соответствующие таковым у файла /bin/sh, что маскирует их под легитимные системные компоненты».
По словам эксперта, каждая реплика реализует механизмы персистентности через дублирующие методы, создавая в совокупности десять различных служб. Все это продумано для противодействия сигнатурному анализу, а дополнительно ВПО дополняет копию случайными данными, что приводит к генерации уникальных хэшей MD5 для идентичной по функционалу вредоносной нагрузки. В средах без прав суперпользователя PickAI обеспечивает свою персистентность, поддерживая пять точек восстановления через сервисы systemd в пользовательских каталогах.
Кампания была впервые зафиксирована в феврале 2025 года, когда ранняя версия вредоносного кода была загружена на VirusTotal с территории Гонконга. Основная концентрация зараженных систем наблюдается в Германии, США и Китае.
Вирус чрезвычайно устойчив к обнаружению: он создаёт несколько копий себя в разных системных папках, изменяя свои временные метки и добавляя случайные данные, чтобы обмануть антивирусы. Даже если запускается без административных прав, PickAI обеспечивает себе «выживание» с помощью резервных копий в пользовательских папках.
Для снижения рисков атак на ИИ-сервера Дмитриева рекомендует выделить их в отдельные сегменты DMZ, использовать механизмы контейнеризации, а также ограничить запуск ИИ-сервисов под минимальными привилегиями. В вопросах контроля доступа к ИИ-сегменту стоит обеспечить соблюдение принципа минимальных привилегий и внедрить MFA. Дополнительно важно отметить, что важно проводить сканирований моделей, датасетов и конфигов на наличие бэкдора перед развертыванием и проверять доверенность источников загрузки ИИ-компонентов.
«В контексте этого кейса, SOC имеет определяющее значение для обеспечения проактивной защиты инфраструктуры: обеспечение мониторинга критических системных файлов (/bin/sh, файлы в init.d/, systemd, конфиги) на предмет изменений, а также отслеживать наличие характерных имен файлов, сигнатур C2, хэшей несмотря на рандомизацию. Аналитикам SOC рекомендуется проводить и ретроспектвный анализ аномалий: несвойственные процессы, сетевые соединения, изменения файлов. Для выстраивания проактивной защиты можно обратиться в GSOC компании "Газинформсервис" — квалифицированные аналитики способны выступить центральным звеном, связывающим технические средства защиты, аналитику угроз и оперативные действия», — объяснила эксперт.
