Yapay Zeka ile Kodlanan IoT Botnet: TuxBot v3'teki LLM Hataları ve Güvenlik Uyarıları Linux

Yapay Zeka ile Kodlanan IoT Botnet: TuxBot v3'teki LLM Hataları ve Güvenlik Uyarıları

TuxBot v3, yapay zeka ile kodlanmış IoT botneti, LLM kaynaklı hatalar ve güvenlik uyarılarıyla gündemde. Palo Alto Networks analiz etti.

Siber güvenlik dünyası, yapay zeka tarafından üretilen kodlarla inşa edilmiş bir IoT botneti olan TuxBot v3 ile sarsıldı. Palo Alto Networks'ün Unit 42 araştırma ekibi, bu botnetin kaynak kodunda büyük dil modellerinin (LLM) neden olduğu ilginç hatalar ve geliştiricinin kaldırmayı unuttuğu güvenlik uyarıları keşfetti. TuxBot v3, 17 farklı mimari için derlenebilen modüler bir botnet çerçevesi olarak dikkat çekiyor.

Unit 42'nin raporuna göre, botnetin 61 C kaynak dosyasının her birinde, 'bu kod yalnızca eğitim ve yetkili güvenlik araştırmaları içindir' şeklinde bir uyarı başlığı bulunuyor. Geliştirici, LLM'nin eklediği bu sorumluluk reddi beyanını kaldırmadan yazılımı dağıtmış. Ayrıca, yapay zekanın düşünce zinciri yorumları da kod yorumları içinde bırakılmış; 'Bunları ben yarattım, yani bilmem gerekir?' ve 'Dur, komut nerede?' gibi ifadeler botnetin çalışan sürümünde yer alıyor.

TuxBot v3, ARM, MIPS, PowerPC, RISC-V ve x86_64 gibi 17 farklı mimariyi destekliyor. Go dilinde yazılmış bir komuta ve kontrol (C2) sunucusu, DDoS kiralama paneli, özel bir exploit sanal makinesi, Docker tabanlı test altyapısı ve otomatik derleme sistemi içeriyor. Bot, 1.496 kullanıcı adı-şifre çiftiyle Telnet erişimini brute-force yapabiliyor ve 30'dan fazla IoT cihaz ailesine yönelik exploit kodları barındırıyor.

Detaylar ve Etkileri

Ancak botnetin yaklaşık %70'i çalışır durumda. Tarama, kimlik doğrulama brute-force, kalıcılık ve DDoS gibi temel işlevler çalışıyor. Çalışmayan kısımlar ise neredeyse tamamen LLM kaynaklı hatalardan kaynaklanıyor. En kritik hata, C2 kimlik doğrulama modülünde. Geliştirici Argon2id şifreleme istemiş, ancak LLM doğru kütüphaneyi içe aktaramayıp SHA256 döngülerine geri dönmüş, yine de Argon2id yorumlarını, sabitlerini ve çıktı formatını korumuş. Bu, '$argon2id$v=19$...' şeklinde bir döndürme değerine yol açmış.

Diğer hatalar arasında XOR anahtar uyuşmazlığı nedeniyle IRC yedekleme kanalının çalışmaması, dört exploit yükünün ve HTTP polling'in bozulması yer alıyor. Özel exploit sanal makinesi, Go derleyicisinin dosya imzasını 'TUXE' yazarken C runtime'ının 'EXPL' beklemesi nedeniyle çalışmıyor. On altı exploit fonksiyonu ölü kod olarak derlenmiş ve 78 saldırı vektörü yalnızca altı işleyiciye yönlendirilmiş, tüm HTTP uygulama katmanı yöntemleri sessizce TCP SYN flood'a yönlendirilmiş.

Unit 42 araştırmacıları, bu hataları birkaç LLM destekli komutla düzeltebildiklerini belirtiyor. Operatörün kaynak koda erişimi olduğu ve Nisan 2026'da altı yeni örnek yayınladığı göz önüne alındığında, hataların düzeltildiği bir sürümün vahşi ortamda bulunması muhtemel. Geliştiricinin Git günlükleri, İran'da barındırılan bir iş istasyonunu ve digikalas[.]online alan adını işaret ediyor. Paylaşılan altyapı, TuxBot'u Keksec ekosistemindeki Kaitori v3.9 ve AISURU araçlarıyla ilişkilendiriyor. Geliştirme süreci Ocak 2025'te başlamış ve bir yıl sürmüş. AI, kodun çoğunu yazmaya yardımcı olmuş, ancak hataların çoğunu da o eklemiş ve kimse bunları yakalayamamış çünkü üretilen kod yüzeyde temiz görünüyor.

Kaynak: securityaffairs.com

Paylaş: