Botnet złośliwego oprogramowania o nazwie GoBruteforcer jest w stanie przejmować serwery Linux i zamieniać je w zautomatyzowane węzły łamiące hasła, poinformowała firma zajmująca się cyberbezpieczeństwem. Program hakerski wpłynął na infrastrukturę wykorzystywaną przez projekty kryptowalutowe, w tym serwery baz danych, usługi transferu plików oraz panele administracji internetowej.
GoBrut potrafi skanować internet w poszukiwaniu słabo zabezpieczonych usług i próbować zalogować się, używając popularnych nazw użytkowników i słabych haseł. Po przejęciu systemu jest on dodawany do rozproszonej sieci, do której hakerzy mają zdalny dostęp.
Botnet GoBruteforcer potrafi łamać słabo przemyślane hasła
Według raportu Check Point opublikowanego w ostatnią środę, botnet potrafi ominąć zabezpieczenia usług takich jak FTP, MySQL, PostgreSQL oraz phpMyAdmin. Programy te są wykorzystywane przez startupy blockchain i deweloperów zdecentralizowanych aplikacji do zarządzania danymi użytkowników, logiką aplikacji i wewnętrznymi panelami.
Systemy zhakowane przez GoBrute mogą przyjmować polecenia z serwera command-and-control, który określa, którą usługę atakować i dostarcza dane uwierzytelniające do prób siłowych. Ujawnione dane logowania są ponownie wykorzystywane do uzyskiwania dostępu do innych systemów, kradzieży prywatnych danych, tworzenia ukrytych kont i zwiększania zasięgu botnetu.
Check Point zauważył również, że zainfekowane hosty mogą być wykorzystywane do hostowania złośliwego oprogramowania, dystrybucji malware do nowych ofiar lub stania się zapasowymi serwerami kontroli w przypadku awarii głównego systemu.
Wiele zespołów deweloperskich, w tym z dużych firm technologicznych takich jak Microsoft i Amazon, korzysta obecnie z fragmentów kodu i przewodników instalacyjnych generowanych przez duże modele językowe (LLM) lub kopiowanych z forów internetowych.
Check Point wyjaśnił, że ponieważ modele AI nie potrafią tworzyć nowych haseł i zwykle naśladują to, czego się nauczyły, tworzą bardzo przewidywalne nazwy użytkowników i domyślne hasła, nie zmieniając ich wystarczająco szybko, zanim systemy zostaną wystawione na internet.
Problem staje się jeszcze poważniejszy, gdy używane są starsze stosy webowe, takie jak XAMPP, które domyślnie mogą wystawiać usługi administracyjne i stanowić łatwy punkt wejścia dla hakerów.
Kampanie GoBruteforcer rozpoczęły się w 2023 roku, odkrycia Unit 42
GoBruteforcer został po raz pierwszy udokumentowany w marcu 2023 roku przez Unit 42 firmy Palo Alto Networks, która opisała jego zdolność do kompromitowania systemów Unix-like x86, x64 i ARM. Malware wdraża bota Internet Relay Chat oraz webshell, które atakujący wykorzystują do utrzymywania zdalnego dostępu.
We wrześniu 2025 roku badacze z Black Lotus Labs firmy Lumen Technologies odkryli, że część zainfekowanych maszyn powiązanych z inną rodziną malware, SystemBC, była również węzłami GoBruteforcer. Analitycy Check Point porównali listy haseł wykorzystywanych w atakach z bazą około 10 milionów wyciekłych poświadczeń, znajdując pokrycie na poziomie około 2,44%.
Na podstawie tego pokrycia oszacowali, że dziesiątki tysięcy serwerów baz danych mogą akceptować jedno z haseł używanych przez botnet. Raport Google z 2024 roku Cloud Threat Horizons wykazał, że słabe lub brakujące poświadczenia były odpowiedzialne za 47,2% początkowych wektorów dostępu w naruszonych środowiskach chmurowych.
Badania: Rozpoznanie blockchain i AI ujawnia dane prywatne
W przypadkach, gdy GoBrute został namierzony w środowiskach kryptowalutowych, hakerzy sieciowi używali nazw użytkowników i wariantów haseł nawiązujących do kryptowalut, które odpowiadały konwencjom nazewniczym projektów blockchain. Inne kampanie celowały w panele phpMyAdmin powiązane z witrynami WordPress, będące usługą dla stron projektowych i paneli kontrolnych.
„Niektóre zadania są wyraźnie ukierunkowane sektorowo. Na przykład zaobserwowaliśmy atak, który wykorzystywał kryptowalutowe nazwy użytkowników, takie jak cryptouser, appcrypto, crypto_app i crypto. W tych przypadkach użyte hasła łączyły standardową słabą listę z kryptowalutowymi zgadywaniami, takimi jak cryptouser1 czy crypto_user1234” – przekazał Check Point, podając przykłady haseł.
Check Point zidentyfikował przejęty serwer używany do hostowania modułu skanującego adresy blockchain TRON i sprawdzającego salda poprzez publiczne API blockchain, aby zidentyfikować portfele posiadające środki.
„Połączenie odsłoniętej infrastruktury, słabych poświadczeń i coraz bardziej zautomatyzowanych narzędzi. Choć sam botnet jest technicznie prosty, jego operatorzy korzystają na liczbie źle skonfigurowanych usług online” – napisała firma bezpieczeństwa.
Jeśli to czytasz, jesteś już o krok przed innymi. Pozostań tam z naszym newsletterem.
