Útoky botnetu GoBruteforcer
Obnovená vlna aktivit GoBruteforcer aktivně cílí na databáze spojené s kryptoměnovými a blockchainovými projekty. Útočníci začleňují zranitelné servery do distribuované botnetu schopného provádět rozsáhlé útoky hrubou silou proti běžným službám, včetně FTP, MySQL, PostgreSQL a phpMyAdmin na linuxových systémech.
Tato kampaň není nediskriminační. Důkazy ukazují jasné zaměření na infrastrukturu vázanou na blockchainové ekosystémy, což odráží jak finanční motivaci, tak i hojnost špatně zabezpečených vývojových prostředí v tomto sektoru.
Obsah
Proč tato kampaň nabírá na obrátkách
Současný nárůst pohánějí dva sbíhající se trendy. Zaprvé, administrátoři stále častěji opakovaně používají průvodce nasazením a příklady serverů generované umělou inteligencí, z nichž mnohé replikují stejná slabá výchozí uživatelská jména a přihlašovací údaje, jaké se nacházejí v online tutoriálech a dokumentaci. Zadruhé, starší webové stacky, zejména instalace XAMPP, jsou i nadále nasazovány s exponovanými FTP službami a administrativními rozhraními, která postrádají dostatečné zabezpečení.
Tyto podmínky dohromady poskytují útočníkům předvídatelný a úrodný povrch pro útok.
Od počátků roku 2023 k nebezpečnější variantě z roku 2025
GoBruteforcer, známý také jako GoBrut, byl poprvé zdokumentován v březnu 2023. První výzkumy popisovaly rodinu malwaru založenou na Golangu, navrženou pro unixové systémy na architekturách x86, x64 a ARM. Nasadil IRC bota pro ovládání a řízení, nainstaloval webový shell pro trvalý vzdálený přístup a načetl modul hrubé síly pro skenování dalších zranitelných hostitelů.
Do září 2025 vědci zjistili, že části botnetu fungovaly společně s dalším kmenem malwaru, SystemBC, což naznačuje sdílenou infrastrukturu nebo koordinovanou kontrolu.
Polovina roku 2025 znamenala významný technický skok. Analytici identifikovali pokročilejší variantu s výrazně obfuskovaným IRC botem přepsaným v Golangu, vylepšenými mechanismy perzistence, možnostmi maskování procesů a dynamicky spravovanými seznamy přihlašovacích údajů, které bylo možné aktualizovat na vyžádání.
Strategie pro pověření formovaná umělou inteligencí a návyky vývojářů
Komponenta malwaru pro hrubou sílu se spoléhá na pečlivě vybraná spojení běžných uživatelských jmen a hesel, jako například „myuser:Abcd@123“ nebo „appeaser:admin123456“. Nejedná se o náhodné výběry. Mnoho z nich pochází z tutoriálů k databázím, dokumentace k hostingu a příkladů od dodavatelů – materiálů, které byly široce začleněny do velkých korpusů pro trénování jazykových modelů. V důsledku toho nástroje umělé inteligence často reprodukují stejná výchozí nastavení ve vygenerovaných úryvcích konfigurace, čímž neúmyslně standardizují slabé přihlašovací údaje napříč nasazeními.
Další uživatelská jména v rotaci odkazují na pracovní postupy kryptoměn (například „cryptouser“, „appcrypto“, „crypto_app“ a „crypto“) nebo se konkrétně zaměřují na prostředí phpMyAdmin, včetně „root“, „wordpress“ a „wpuser“.
Útočníci si pro každou kampaň udržují relativně malý a stabilní fond hesel, z kterého obnovují seznamy hesel pro jednotlivé úkoly a zároveň několikrát týdně rotují uživatelská jména a přidávají hesla do specifických oblastí. Útoky na FTP jsou řešeny odlišně: binární soubor Bruteforcer obsahuje pevně zakódovanou sadu přihlašovacích údajů, která se úzce vztahuje na výchozí stacky webhostingu a servisní účty.
Řetězec infekce a možnosti botnetů
Pozorované útoky nejčastěji začínají s FTP službou přístupnou z internetu na serveru XAMPP. Jakmile je přístup získán, útočníci nahrají webový shell PHP. Tento shell je poté použit k načtení a spuštění aktualizovaného IRC bota pomocí skriptu shellu přizpůsobeného architektuře hostitele.
Po kompromitaci lze infikovaný systém znovu využít několika způsoby:
- Spouští moduly hrubé síly, které se pokoušejí o přihlášení ke službám FTP, MySQL, PostgreSQL a phpMyAdmin napříč internetem.
- Hostuje a distribuuje škodlivé datové soubory do nově napadených počítačů.
- Poskytuje koncové body pro velení a řízení ve stylu IRC nebo funguje jako záložní server C2 pro zlepšení odolnosti botnetů.
Přímý důkaz operací zaměřených na blockchain
Další vyšetřování odhalilo, že alespoň jeden napadený server instaloval specializovaný modul určený k procházení seznamu blockchainových adres TRON. Pomocí veřejné služby tronscanapi.com se malware dotazoval na zůstatky na účtech, aby identifikoval peněženky s nenulovými prostředky. Tato schopnost silně naznačuje spíše úmyslný průzkum zaměřený na blockchainové projekty a infrastrukturu související s kryptoměnami než pouhé oportunistické skenování.
Neustálá lekce pro obránce
GoBruteforcer ilustruje širší, přetrvávající bezpečnostní selhání: nebezpečný průnik exponovaných služeb, slabých nebo recyklovaných přihlašovacích údajů a stále automatizovanějších útočných nástrojů. I když samotný botnet není technicky průlomový, jeho provozovatelé enormně těží z obrovského množství chybně nakonfigurovaných serverů, které jsou stále dostupné na veřejném internetu.
Pro obránce tato kampaň posiluje známé, ale zásadní sdělení: eliminujte výchozí přihlašovací údaje, omezte administrativní rozhraní, vyřaďte starší balíčky a zacházejte s příklady nasazení generovanými umělou inteligencí jako s nedůvěryhodnými výchozími body, nikoli s konfiguracemi připravenými k produkčnímu prostředí.
