يستهدف الهاكرز قواعد بيانات مشاريع العملات الرقمية والبلوكشين باستخدام الذكاء الاصطناعي

قالت شركة الأمن السيبراني إن شبكة بوت نت خبيثة تُدعى GoBruteforcer قادرة على اختراق خوادم Linux وتحويلها إلى عقد تلقائية لكسر كلمات المرور. وقد أثرت برامج الاختراق هذه على البنية التحتية المستخدمة من قبل مشاريع الكريبتو، بما في ذلك خوادم قواعد البيانات، وخدمات نقل الملفات، ولوحات إدارة الويب. 

يمكن لـ GoBrut فحص الإنترنت بحثًا عن الخدمات ذات الحماية الضعيفة ومحاولة تسجيل الدخول باستخدام أسماء مستخدمين شائعة وكلمات مرور ضعيفة. بمجرد اختراق النظام، تتم إضافته إلى شبكة موزعة يمكن الوصول إليها عن بُعد من قبل شبكة من القراصنة.

شبكة GoBruteforcer البوت نت يمكنها اختراق كلمات المرور غير المحكمة

وفقًا لتقرير Check Point الذي تم نشره الأربعاء الماضي، يمكن لشبكة البوت نت تجاوز الحماية في خدمات مثل FTP و MySQL و PostgreSQL و phpMyAdmin. تُستخدم هذه البرامج من قبل الشركات الناشئة في مجال البلوكشين ومطوري التطبيقات اللامركزية لإدارة بيانات المستخدمين ومنطق التطبيقات ولوحات المعلومات الداخلية.

يمكن للأنظمة التي اخترقها GoBrute أن تقبل الأوامر من خادم القيادة والتحكم، والذي يحدد الخدمة التي يجب مهاجمتها بينما يزودها ببيانات الاعتماد لمحاولات القوة الغاشمة. يتم إعادة استخدام تفاصيل تسجيل الدخول المكشوفة للوصول إلى أنظمة أخرى، وسرقة البيانات الخاصة، وإنشاء حسابات مخفية، وزيادة نطاق شبكة البوت نت.

ذكرت Check Point أيضًا أن الأجهزة المصابة يمكن إعادة استخدامها لاستضافة حمولات خبيثة، أو توزيع البرمجيات الضارة على ضحايا جدد، أو أن تصبح خوادم تحكم احتياطية في حال تعرض النظام الأساسي لانقطاع الخدمة.

تعتمد العديد من فرق التطوير الآن، بما في ذلك تلك التابعة لشركات التكنولوجيا الكبرى مثل Microsoft و Amazon، على مقتطفات الشيفرة وأدلة الإعداد التي تم إنشاؤها بواسطة نماذج اللغة الكبيرة (LLMs) أو التي تم نسخها من المنتديات عبر الإنترنت. 

أوضحت Check Point أنه بما أن نماذج الذكاء الاصطناعي لا يمكنها إنشاء كلمات مرور جديدة وعادةً ما تحاكي ما تم تدريبها عليه، فإنها تجعل أسماء المستخدمين وكلمات المرور الافتراضية متوقعة للغاية، ولا تغيرها بسرعة كافية قبل أن تتعرض الأنظمة للإنترنت. 

تزداد المشكلة سوءًا عندما يتم استخدام حزم الويب القديمة مثل XAMPP، والتي يمكن أن تعرض خدمات الإدارة افتراضيًا وتوفر نقطة دخول سهلة للقراصنة.

حملات GoBruteforcer بدأت في 2023، بحسب أبحاث Unit 42

تم توثيق GoBruteforcer لأول مرة في مارس 2023 بواسطة وحدة Unit 42 التابعة لـ Palo Alto Networks، والتي أوضحت قدرته على اختراق أنظمة شبيهة بـ Unix من معماريات x86 و x64 و ARM. تقوم البرمجية الخبيثة بنشر بوت Internet Relay Chat و web shell، والتي يستخدمها المهاجمون للحفاظ على وصولهم عن بُعد.

في سبتمبر 2025، اكتشف باحثو Black Lotus Labs في Lumen Technologies أن جزءًا من الأجهزة المصابة المرتبطة بعائلة البرمجيات الخبيثة الأخرى SystemBC كانت أيضًا عقدًا لشبكة GoBruteforcer. وقد قارن محللو Check Point قوائم كلمات المرور المستخدمة في الهجمات بقاعدة بيانات تحتوي على حوالي 10 ملايين بيانات اعتماد مسربة ووجدوا تداخلًا بنسبة حوالي 2.44%.

استنادًا إلى هذا التداخل، قدروا أن عشرات الآلاف من خوادم قواعد البيانات يمكن أن تقبل إحدى كلمات المرور المستخدمة من قبل شبكة البوت نت. ووجد تقرير Google لعام 2024 Cloud Threat Horizons أن بيانات الاعتماد الضعيفة أو المفقودة كانت مسؤولة عن 47.2٪ من متجهات الوصول الأولية في بيئات السحابة التي تم اختراقها.

أبحاث: الاستطلاع في البلوكشين والذكاء الاصطناعي يعرض البيانات الخاصة للخطر

في الحالات التي تم تتبع GoBrute فيها في بيئات العملات المشفرة، استخدم قراصنة الشبكة أسماء مستخدمين وكلمات مرور مستوحاة من الكريبتو تتوافق مع أنظمة التسمية لمشاريع البلوكشين. واستهدفت حملات أخرى لوحات phpMyAdmin المرتبطة بمواقع WordPress، وهي خدمة لمواقع المشاريع ولوحات المعلومات. 

قالت Check Point: "بعض المهام تركز بوضوح على القطاع. على سبيل المثال، لاحظنا هجومًا استخدم أسماء مستخدمين مستوحاة من الكريبتو مثل cryptouser و appcrypto و crypto_app و crypto. في هذه الحالات، تم الجمع بين كلمات المرور المستخدمة من القائمة الضعيفة القياسية مع تخمينات خاصة بالكريبتو مثل cryptouser1 أو crypto_user1234"، مع ذكر أمثلة لكلمات المرور.

حددت Check Point خادمًا مخترقًا يُستخدم لاستضافة وحدة تقوم بفحص عناوين TRON blockchain والاستعلام عن الأرصدة من خلال واجهة برمجة تطبيقات عامة للبلوكشين لتحديد المحافظ التي تحتوي على أموال.

كتبت شركة الأمن: "مزيج البنية التحتية المكشوفة، وبيانات الاعتماد الضعيفة، والأدوات الآلية المتزايدة. فعلى الرغم من أن شبكة البوت نت نفسها بسيطة تقنيًا، فإن مشغليها يستفيدون من عدد الخدمات التي تم تكوينها بشكل خاطئ على الإنترنت".

إذا كنت تقرأ هذا، فأنت بالفعل في المقدمة. ابق هناك مع نشرتنا البريدية.