GoBruteforcer botnet támadások
A GoBruteforcer tevékenységének megújult hulláma aktívan célba veszi a kriptovaluta és blokklánc projektekhez kapcsolódó adatbázisokat. A támadók sebezhető szervereket kötnek be egy elosztott botnetbe, amely képes nagyszabású nyers erő támadásokat végrehajtani olyan népszerű szolgáltatások ellen, mint az FTP, a MySQL, a PostgreSQL és a phpMyAdmin Linux rendszereken.
Ez a kampány nem válogatás nélküli. A bizonyítékok egyértelműen a blokklánc ökoszisztémákhoz kapcsolódó infrastruktúrára összpontosítanak, ami tükrözi mind a pénzügyi motivációt, mind a rosszul biztonságos fejlesztői környezetek bőségét ebben a szektorban.
Tartalomjegyzék
Miért vesz lendületet ez a kampány?
Két összefonódó trend táplálja a jelenlegi növekedést. Először is, a rendszergazdák egyre inkább újrahasznosítják a mesterséges intelligencia által generált telepítési útmutatókat és szerverpéldákat, amelyek közül sok ugyanazokat a gyenge alapértelmezett felhasználóneveket és hitelesítő adatokat használja, mint az online oktatóanyagokban és dokumentációkban. Másodszor, a régi webes megoldások, különösen a XAMPP telepítések továbbra is olyan sebezhető FTP-szolgáltatásokkal és adminisztratív felületekkel vannak telepítve, amelyek nem rendelkeznek megfelelő biztonsági résszel.
Ezek a feltételek együttesen kiszámítható és termékeny támadási felületet biztosítanak a támadóknak.
A 2023-as eredettől egy veszélyesebb 2025-ös változatig
A GoBruteforcer, más néven GoBrut, először 2023 márciusában került dokumentálásra. A korai kutatások egy Golang-alapú kártevőcsaládot írtak le, amelyet Unix-szerű rendszerekhez terveztek x86, x64 és ARM architektúrákon. A program egy IRC botot telepített a parancs-és-vezérléshez, egy web shellt telepített az állandó távoli hozzáféréshez, és letöltött egy brute-force modult további sebezhető gazdagépek keresésére.
2025 szeptemberére a kutatók felfedezték, hogy a botnet egyes részei egy másik rosszindulatú programtörzzsel, a SystemBC-vel együttműködve működtek, ami megosztott infrastruktúrára vagy összehangolt irányításra utal.
2025 közepe jelentős technikai ugrást jelentett. Az elemzők egy fejlettebb változatot azonosítottak, amely egy erősen obfuszkált IRC botot tartalmazott, amelyet Golangban írtak át, továbbfejlesztett adatmegőrzési mechanizmusokkal, folyamatmaszkolási képességekkel és dinamikusan kezelt, igény szerint frissíthető hitelesítőadat-listákkal.
A mesterséges intelligencia és a fejlesztői szokások által formált hitelesítési stratégia
A rosszindulatú program brute-force komponense olyan gyakori felhasználónevek és jelszavak gondosan válogatott kombinációira támaszkodik, mint például a „myuser:Abcd@123” vagy az „appeaser:admin123456”. Ezek nem véletlenszerű kiválasztások. Sokuk adatbázis-oktatóanyagokból, tárhelydokumentációkból és szállítói példákból származik – olyan anyagokból, amelyeket széles körben beépítettek a nagy nyelvi modellképzési korpuszokba. Ennek eredményeként a mesterséges intelligencia eszközei gyakran ugyanazokat az alapértelmezett értékeket reprodukálják a generált konfigurációs kódrészletekben, akaratlanul is szabványosítva a gyenge hitelesítő adatokat a telepítések között.
A rotációban szereplő további felhasználónevek kriptovaluta-munkafolyamatokra hivatkoznak (például „cryptouser”, „appcrypto”, „crypto_app” és „crypto”), vagy kifejezetten a phpMyAdmin környezeteket célozzák meg, beleértve a „root”, a „wordpress” és a „wpuser” néveket.
A támadók minden kampányhoz egy viszonylag kis, stabil jelszókészletet tartanak fenn, amelyből feladatonként frissítik a listákat, miközben hetente többször cserélgetik a felhasználóneveket és a niche-kiegészítéseket. Az FTP-támadásokat másképp kezelik: a bruteforcer bináris fájl egy fixen kódolt hitelesítőadat-készletet tartalmaz, amely szorosan kapcsolódik az alapértelmezett webhoszting-vermekhez és szolgáltatásfiókokhoz.
A fertőzési lánc és a botnet képességei
A megfigyelt behatolások leggyakrabban egy internetre leselkedő FTP-szolgáltatással kezdődnek egy XAMPP szerveren. A hozzáférés megszerzése után a támadók feltöltenek egy PHP web shellet. Ezt a shellet ezután egy frissített IRC bot lekérésére és végrehajtására használják a gazdagép architektúrájához igazított shell szkript segítségével.
A kompromittálás után egy fertőzött rendszer többféleképpen is újrahasznosítható:
- Brute-force modulokat futtat, hogy megpróbáljon bejelentkezni FTP, MySQL, PostgreSQL és phpMyAdmin szolgáltatásokba az interneten keresztül.
- Kártékony fájlokat tárol és terjeszt az újonnan feltört gépeken.
- IRC-stílusú parancs-és-vezérlési végpontokat biztosít, vagy tartalék C2-kiszolgálóként működik a botnet-ellenálló képesség javítása érdekében.
Közvetlen bizonyítékok a blokklánc-központú műveletekre
További vizsgálatok kimutatták, hogy legalább egy feltört szerver egy speciális modult futtatott, amely a TRON blokklánc-címek listájának végigpásztázására szolgált. A nyilvános tronscanapi.com szolgáltatás használatával a rosszindulatú program lekérdezte a számlaegyenlegeket, hogy azonosítsa a nem nulla összegű egyenleget tartalmazó tárcákat. Ez a képesség erősen arra utal, hogy a rendszer szándékosan felderítette a blokklánc-projekteket és a kriptovalutákkal kapcsolatos infrastruktúrát, nem pedig csak alkalmi szkennelést folytatott.
Állandó tanulság a védők számára
A GoBruteforcer egy szélesebb körű, folyamatos biztonsági hibát illusztrál: a sebezhető szolgáltatások, a gyenge vagy újrahasznosított hitelesítő adatok és az egyre inkább automatizált támadási eszközök veszélyes metszéspontját. Bár maga a botnet technikailag nem úttörő, üzemeltetői óriási hasznot húznak a nyilvános interneten még mindig elérhető, rosszul konfigurált szerverek hatalmas mennyiségéből.
A védelmezők számára ez a kampány egy ismerős, de fontos üzenetet erősít meg: szüntessék meg az alapértelmezett hitelesítő adatokat, korlátozzák az adminisztratív felületeket, vonják ki a régi rendszereket, és a mesterséges intelligencia által generált telepítési példákat kezeljék nem megbízható kiindulópontként, ne pedig éles üzembe helyezésre kész konfigurációként.
