GoBruteforcer
A GoBruteforcer egy Linux szerverek elleni, moduláris botnet, amely a publikusan elérhető szolgáltatások, mint az FTP, MySQL, PostgreSQL és phpMyAdmin, gyenge hitelesítő adatait használja ki, és ezekre építve jut jogosulatlan hozzáféréshez. A Check Point Research elemzése szerint a botnet 2025 közepétől egy új, technikailag fejlettebb variánssal van jelen a hálózaton, amely célzottan kihasználja a jelszótörést (brute force) és a rosszul konfigurált szervereket szerte a világon.
A botnet működése egy többlépcsős fertőzési láncon alapul, a támadók először web shell-ekkel vagy más gyenge pontokon keresztül szereznek kezdeti hozzáférést, majd egy letöltőt és egy IRC botot telepítenek, amely a kompromittált gépet távoli vezérlés alá helyezi, és később futtatja a tényleges brute-force modult. A brute-force eszköz nyilvános IP tartományokat pásztáz, és automatikusan próbálkozik gyakori felhasználónév–jelszó kombinációkkal, amelyek rosszul behelyezett vagy alapértelmezett értékekből származnak.
A CPR elemzés szerint a mesterséges intelligencia által generált szerverkonfigurációs példák, amelyeket adminisztrációs útmutatókhoz vagy DevOps környezetekbe illesztettek, gyakran tartalmaznak gyenge, gyakori felhasználóneveket és jelszavakat támogatják a GoBruteforcer hatékonyságát. Mivel a nagy nyelvi modelleken alapuló eszközök publikusan elérhető dokumentációt használnak, ezek szinte automatikusan reprodukálják az olyan sablonokat, mint az appuser vagy a myuser, ami a támadók számára ideális nyersanyagot szolgáltat a brute-force próbálkozásokhoz. Másrészt az elavult, minimálisan megerősített szoftvereken alapuló rendszerek széleskörű használata, amelyek alapértelmezett felhasználói jelszavakkal és szolgáltatásokkal vannak kitéve az internetnek.
Bár a brute-force sikerességi aránya nem magas, a CPR adatai szerint a GoBruteforcer által használt jelszólista kb. 2.44 %-a szerepel egy 10 millió belépési adatot tartalmazó adatbázisban is, a több tízezer internetre nyitott szerver miatt még így is sok célpont található. A Shodan adatai szerint jelenleg több millió FTP, MySQL és PostgreSQL szolgáltatás érhető el publikus portokon, ami nagymértékben növeli a brute-force támadások hatékonyságát és profitabilitását.
A GoBruteforcer rutinszerűen célozza meg a népszerű nyílt forráskódú szolgáltatásokat, melyek gyakran nyitottak hagyott admin felületekkel vagy adatbázis-portokkal. A botnet vezérlő szerverek listát küldenek a botoknak, amelyek rendszeresen frissülő, gyenge jelszavakat és gyakori felhasználóneveket tartalmaznak. A kampányok profilosak lehetnek: vannak általános spray-tipusú támadások, de a CPR elemzése kimutatta, hogy időnként szektor-specifikus minták(például kriptopénz-kontextusú jelszavak és felhasználónevek) is megjelennek, amelyek arra utalnak, hogy a támadók célzottan próbálnak kritikus infrastruktúrák vagy blockchain-kapcsolódó adatbázisok hozzáféréséhez jutni.
A botnet infrastruktúrájában talált egyedi modulok közül néhány olyan kiegészítő eszköz, amely például TRON blokklánc-címek maradék egyenlegét vizsgálja, illetve token-sweep modulokat tartalmaz, amelyek a kompromittált pénztárcákból történő token-eltávolítást szolgálják. Ezek a bizonyítékok arra utalnak, hogy a GoBruteforcer kampányok egy része nem pusztán infrastruktúra-terjeszkedési célú, hanem pénzügyi motivációjú, kriptovaluta-érintett művelet is lehet.
