Κακόβουλο λογισμικό GoBruteforcer

Ένα νέο κακόβουλο λογισμικό που ονομάζεται GoBruteforcer ανακαλύφθηκε από ερευνητές στον τομέα της κυβερνοασφάλειας. Αυτό το κακόβουλο λογισμικό είναι γραμμένο στη γλώσσα προγραμματισμού Go και έχει σχεδιαστεί ειδικά για να στοχεύει διακομιστές ιστού που εκτελούν phpMyAdmin, MySQL, FTP και Postgres. Ο στόχος της απειλής είναι να πάρει τον έλεγχο αυτών των συσκευών και να τις προσθέσει σε ένα botnet, το οποίο στη συνέχεια μπορεί να χρησιμοποιηθεί για διάφορες κακόβουλες δραστηριότητες. Λεπτομέρειες σχετικά με τις κακόβουλες δυνατότητες της απειλής κυκλοφόρησαν σε μια αναφορά από τους ερευνητές του infosec στη Μονάδα 42 του Palo Alto Networks.

Ένα από τα αξιοσημείωτα χαρακτηριστικά του GoBruteforcer είναι η χρήση της σάρωσης μπλοκ Classless Inter-Domain Routing (CIDR). Αυτή η τεχνική επιτρέπει στο κακόβουλο λογισμικό να σαρώσει το δίκτυο και να στοχεύσει όλες τις διευθύνσεις IP εντός ενός συγκεκριμένου εύρους CIDR αντί να χρησιμοποιεί απλώς μια διεύθυνση IP ως στόχο. Με αυτόν τον τρόπο, το κακόβουλο λογισμικό μπορεί να έχει πρόσβαση σε ένα ευρύτερο φάσμα κεντρικών υπολογιστών σε διαφορετικές IP εντός ενός δικτύου. Αυτό καθιστά πιο δύσκολο για τους διαχειριστές δικτύου να εντοπίσουν και να αποκλείσουν την επίθεση.

Συσκευές που έχουν προσβληθεί από κακόβουλο λογισμικό GoBruteforcer προστίθενται σε ένα Botnet

Το GoBruteforcer είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί ειδικά για να στοχεύει πλατφόρμες τύπου Unix με αρχιτεκτονικές x86, x64 και ARM. Το κακόβουλο λογισμικό επιχειρεί να αποκτήσει πρόσβαση σε αυτές τις συσκευές μέσω μιας επίθεσης ωμής βίας χρησιμοποιώντας μια λίστα διαπιστευτηρίων που είναι κωδικοποιημένα στο δυαδικό αρχείο. Εάν είναι επιτυχές, το κακόβουλο λογισμικό αναπτύσσει ένα bot IRC (διαδικτυακή συνομιλία αναμετάδοσης) στον διακομιστή των θυμάτων για να δημιουργήσει επικοινωνία με έναν διακομιστή που ελέγχεται από τους ηθοποιούς.

Εκτός από τη χρήση μιας επίθεσης brute-force, το GoBruteforcer αξιοποιεί επίσης ένα κέλυφος ιστού PHP που είναι ήδη εγκατεστημένο στον διακομιστή θυμάτων. Αυτό επιτρέπει στο κακόβουλο λογισμικό να συγκεντρώσει περισσότερες πληροφορίες σχετικά με το στοχευμένο δίκτυο.

Παρά την αποτελεσματικότητά του, δεν είναι σαφές πώς το GoBruteforcer και το κέλυφος PHP παραδίδονται αρχικά στις στοχευμένες συσκευές. Ωστόσο, οι ερευνητές της κυβερνοασφάλειας έχουν σημειώσει ότι οι τακτικές και οι τεχνικές του κακόβουλου λογισμικού εξελίσσονται ενεργά, υποδεικνύοντας ότι οι προγραμματιστές πίσω από αυτό εργάζονται συνεχώς για να αποφύγουν τον εντοπισμό και να βελτιώσουν την αποτελεσματικότητα των επιθέσεων τους.

Τα ισχυρά μέτρα κυβερνοασφάλειας πρέπει να αποτελούν κορυφαία προτεραιότητα τόσο για χρήστες όσο και για οργανισμούς

Οι διακομιστές Ιστού ήταν ένας ιδιαίτερα περιζήτητος στόχος για εισβολείς στον κυβερνοχώρο για μεγάλο χρονικό διάστημα. Οι αδύναμοι κωδικοί πρόσβασης μπορούν να οδηγήσουν σε σημαντικές απειλές, καθώς οι διακομιστές ιστού αποτελούν ουσιαστικό στοιχείο της ψηφιακής υποδομής ενός οργανισμού. Κακόβουλο λογισμικό όπως το GoBruteforcer εκμεταλλεύεται αυτά τα τρωτά σημεία εκμεταλλευόμενους αδύναμους ή προεπιλεγμένους κωδικούς πρόσβασης για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε αυτούς τους διακομιστές.

Ένα από τα πιο σημαντικά χαρακτηριστικά του bot GoBruteforcer είναι η δυνατότητα πολλαπλής σάρωσης, η οποία του επιτρέπει να στοχεύει ένα ευρύ φάσμα πιθανών θυμάτων. Αυτό, σε συνδυασμό με την ενεργό ανάπτυξη του κακόβουλου λογισμικού, σημαίνει ότι οι επιτιθέμενοι μπορούν να τροποποιήσουν τις τακτικές και τις τεχνικές τους για να στοχεύσουν τους διακομιστές Ιστού πιο αποτελεσματικά στο μέλλον. Ως εκ τούτου, είναι απαραίτητο να διασφαλιστεί ότι οι διακομιστές Ιστού είναι ασφαλισμένοι με ισχυρούς και μοναδικούς κωδικούς πρόσβασης για να ελαχιστοποιηθεί ο κίνδυνος επιθέσεων από κακόβουλο λογισμικό όπως το GoBruteforcer.