Ataki botnetu GoBruteforcer
Nowa fala ataków GoBruteforcer aktywnie atakuje bazy danych powiązane z projektami kryptowalutowymi i blockchain. Atakujący wykorzystują podatne serwery do tworzenia rozproszonego botnetu, zdolnego do przeprowadzania ataków siłowych na dużą skalę na popularne usługi, takie jak FTP, MySQL, PostgreSQL i phpMyAdmin w systemach Linux.
Ta kampania nie jest bezkrytyczna. Dowody wskazują na wyraźne skupienie się na infrastrukturze powiązanej z ekosystemami blockchain, co odzwierciedla zarówno motywację finansową, jak i dużą liczbę słabo zabezpieczonych środowisk programistycznych w tym sektorze.
Spis treści
Dlaczego ta kampania nabiera rozpędu
Dwa zbieżne trendy napędzają obecny wzrost. Po pierwsze, administratorzy coraz częściej wykorzystują generowane przez sztuczną inteligencję przewodniki wdrożeniowe i przykłady serwerów, z których wiele powiela te same słabe domyślne nazwy użytkowników i dane uwierzytelniające, które można znaleźć w samouczkach i dokumentacji online. Po drugie, starsze stosy webowe, w szczególności instalacje XAMPP, nadal są wdrażane z odsłoniętymi usługami FTP i interfejsami administracyjnymi, które nie posiadają odpowiedniego zabezpieczenia.
Łącznie warunki te zapewniają atakującym przewidywalną i podatną na ataki powierzchnię.
Od Origins z 2023 r. do bardziej niebezpiecznej wersji z 2025 r.
GoBruteforcer, znany również jako GoBrut, został po raz pierwszy udokumentowany w marcu 2023 roku. Wczesne badania opisywały rodzinę złośliwego oprogramowania opartą na języku Golang, przeznaczoną dla systemów typu Unix w architekturach x86, x64 i ARM. Wdrożył on bota IRC do obsługi poleceń i kontroli, zainstalował powłokę internetową do stałego dostępu zdalnego oraz pobrał moduł do przeprowadzania ataków siłowych w celu skanowania w poszukiwaniu dodatkowych podatnych hostów.
We wrześniu 2025 r. badacze odkryli, że części botnetu współdziałały z innym szczepem złośliwego oprogramowania, SystemBC, co wskazuje na współdzieloną infrastrukturę lub skoordynowaną kontrolę.
Połowa 2025 roku przyniosła znaczący skok techniczny. Analitycy zidentyfikowali bardziej zaawansowaną wersję z mocno zaciemnionym botem IRC napisanym na nowo w języku Golang, ulepszonymi mechanizmami trwałości, funkcjami maskowania procesów oraz dynamicznie zarządzanymi listami poświadczeń, które można aktualizować na żądanie.
Strategia dotycząca akredytacji kształtowana przez sztuczną inteligencję i nawyki programistów
Komponent brute-force złośliwego oprogramowania opiera się na starannie dobranych kombinacjach popularnych nazw użytkowników i haseł, takich jak „myuser:Abcd@123” lub „appeaser:admin123456”. Nie są to przypadkowe wybory. Wiele z nich pochodzi z samouczków dotyczących baz danych, dokumentacji hostingowej i przykładów od dostawców – materiałów, które zostały szeroko wdrożone w dużych korpusach szkoleniowych modeli językowych. W rezultacie narzędzia sztucznej inteligencji często odtwarzają te same ustawienia domyślne w generowanych fragmentach kodu konfiguracji, nieumyślnie standaryzując słabe dane uwierzytelniające w różnych wdrożeniach.
Dodatkowe nazwy użytkowników w rotacji odnoszą się do przepływów pracy związanych z kryptowalutami (takie jak „cryptouser”, „appcrypto”, „crypto_app” i „crypto”) lub są przeznaczone specjalnie dla środowisk phpMyAdmin, w tym „root”, „wordpress” i „wpuser”.
Atakujący utrzymują stosunkowo niewielką, stabilną pulę haseł dla każdej kampanii, odświeżając listy zadań na tej podstawie, jednocześnie zmieniając nazwy użytkowników i dodając nisze kilka razy w tygodniu. Ataki FTP są traktowane inaczej: plik binarny bruteforcera zawiera zakodowany na stałe zestaw danych uwierzytelniających, który jest ściśle powiązany z domyślnymi stosami hostingu internetowego i kontami usług.
Łańcuch infekcji i możliwości botnetu
Obserwowane włamania najczęściej rozpoczynają się od usługi FTP z dostępem do internetu na serwerze XAMPP. Po uzyskaniu dostępu atakujący przesyłają powłokę PHP. Powłoka ta jest następnie używana do pobrania i uruchomienia zaktualizowanego bota IRC za pośrednictwem skryptu powłoki dostosowanego do architektury hosta.
Po włamaniu zainfekowany system można wykorzystać na kilka sposobów:
- Uruchamia moduły siłowe, które próbują zalogować się do usług FTP, MySQL, PostgreSQL i phpMyAdmin w Internecie.
- Hostuje i dystrybuuje złośliwe oprogramowanie do niedawno zainfekowanych maszyn.
- Zapewnia punkty końcowe poleceń i kontroli w stylu IRC lub pełni funkcję zapasowego serwera C2 w celu zwiększenia odporności na botnety.
Bezpośrednie dowody operacji skoncentrowanych na technologii blockchain
Dalsze dochodzenie ujawniło, że co najmniej jeden z zainfekowanych serwerów zawierał specjalistyczny moduł zaprojektowany do iteracyjnego przeglądania listy adresów blockchain TRON. Korzystając z publicznej usługi tronscanapi.com, złośliwe oprogramowanie sprawdzało salda kont, aby zidentyfikować portfele z niezerowymi środkami. Ta możliwość zdecydowanie sugeruje celowe rozpoznanie projektów blockchain i infrastruktury związanej z kryptowalutami, a nie wyłącznie okazjonalne skanowanie.
Wytrwała lekcja dla obrońców
GoBruteforcer ilustruje szerszy, ciągły problem braku bezpieczeństwa: niebezpieczne połączenie odsłoniętych usług, słabych lub zrecyklingowanych danych uwierzytelniających i coraz bardziej zautomatyzowanych narzędzi do ataków. Chociaż sam botnet nie jest technicznie przełomowy, jego operatorzy czerpią ogromne korzyści z ogromnej liczby błędnie skonfigurowanych serwerów, wciąż dostępnych w publicznym internecie.
Dla obrońców ta kampania wzmacnia znany, ale istotny przekaz: należy wyeliminować domyślne dane uwierzytelniające, ograniczyć interfejsy administracyjne, wycofać starsze stosy i traktować wygenerowane przez sztuczną inteligencję przykłady wdrożeń jako niepewne punkty wyjścia, a nie konfiguracje gotowe do produkcji.
