Шкідливий ботнет під назвою GoBruteforcer здатний зламувати сервери Linux і перетворювати їх на автоматизовані вузли для підбору паролів, повідомила компанія з кібербезпеки. Програма для злому вплинула на інфраструктуру, яку використовують криптопроєкти, включаючи сервери баз даних, служби передачі файлів і панелі адміністрування вебсайтів.
GoBrut може сканувати інтернет на предмет погано захищених сервісів і намагатися увійти до них, використовуючи популярні імена користувачів і слабкі паролі. Після компрометації система приєднується до розподіленої мережі, до якої мають віддалений доступ учасники мережі хакерів.
Ботнет GoBruteforcer може зламувати необдумані паролі
Згідно зі звітом Check Point, опублікованим минулої середи, ботнет може обходити захисти в таких сервісах, як FTP, MySQL, PostgreSQL та phpMyAdmin. Ці програми використовуються стартапами у сфері блокчейну й розробниками децентралізованих застосунків для керування даними користувачів, логікою застосунків і внутрішніми панелями.
Системи, які зламав GoBrute, можуть приймати команди з сервера командування та контролю, вказуючи, який сервіс атакувати, і надаючи облікові дані для брутфорс-атак. Виявлені дані для входу використовуються повторно для доступу до інших систем, крадіжки приватних даних, створення прихованих акаунтів і розширення впливу ботнету.
Check Point також зазначає, що заражені хости можуть бути переорієнтовані для розміщення шкідливих програм, поширення шкідливого ПЗ новим жертвам або стати резервними серверами контролю у разі простою основної системи.
Багато команд розробників зараз, включаючи ті, що працюють у великих технологічних компаніях, таких як Microsoft та Amazon, використовують фрагменти коду та інструкції зі встановлення, згенеровані великими мовними моделями (LLM) або скопійовані з онлайн-форумів.
Check Point пояснює, що оскільки AI-моделі не можуть створювати нові паролі й зазвичай імітують те, чого їх навчали, вони роблять імена користувачів та стандартні паролі дуже передбачуваними, не змінюючи їх достатньо швидко до того, як системи стають доступними в інтернеті.
Проблема стає ще серйознішою, коли використовуються застарілі вебстеки, такі як XAMPP, які за замовчуванням можуть відкривати адміністративні служби та створювати легкий вхід для хакерів.
Кампанії GoBruteforcer почалися в 2023 році, дослідження Unit 42
GoBruteforcer був вперше задокументований у березні 2023 року групою Unit 42 компанії Palo Alto Networks, яка детально описала його здатність компрометувати Unix-подібні системи архітектур x86, x64 і ARM. Шкідливе ПЗ розгортає Internet Relay Chat-бота та вебшелл, які використовують зловмисники для збереження віддаленого доступу.
У вересні 2025 року дослідники Black Lotus Labs компанії Lumen Technologies виявили, що частина заражених машин, пов’язаних із сімейством шкідливого ПЗ SystemBC, також були вузлами GoBruteforcer. Аналітики Check Point порівняли списки паролів, які використовувалися в атаках, з базою даних приблизно 10 мільйонів злитих облікових даних і виявили збіг приблизно 2,44%.
Виходячи з цього збігу, вони оцінили, що десятки тисяч серверів баз даних можуть приймати один із паролів, які використовує ботнет. У звіті Google Cloud Threat Horizons за 2024 рік було встановлено, що слабкі або відсутні облікові дані були причиною 47,2% первинних векторів доступу при порушеннях безпеки хмарних середовищ.
Блокчейн- і AI-розвідка відкриває приватні дані, показують дослідження
У випадках, коли GoBrute відстежували в криптовалютних середовищах, мережеві хакери використовували імена користувачів і варіації паролів із криптотематикою, які відповідали найменуванням блокчейн-проєктів. Інші кампанії були націлені на панелі phpMyAdmin, пов’язані з сайтами на WordPress, що є сервісом для сайтів проєктів і панелей управління.
«Деякі завдання явно орієнтовані на галузь. Наприклад, ми спостерігали атаку, в якій використовувалися імена користувачів із криптотематикою, такі як cryptouser, appcrypto, crypto_app та crypto. У цих випадках використовувалися паролі, що поєднували стандартний слабкий список із крипто-орієнтованими припущеннями, наприклад cryptouser1 або crypto_user1234», — зазначають у Check Point, наводячи приклади паролів.
Check Point ідентифікував скомпрометований сервер, який використовували для розміщення модуля, що сканував адреси блокчейну TRON і запитував баланси через публічний API блокчейну для виявлення гаманців із коштами.
«Поєднання відкритої інфраструктури, слабких облікових даних і дедалі більш автоматизованих інструментів. Хоча сам ботнет технічно простий, його оператори отримують перевагу завдяки великій кількості неправильно налаштованих онлайн-сервісів», — написала компанія з безпеки.
Якщо ви це читаєте — ви вже на крок попереду. Залишайтеся там разом із нашою розсилкою.
