GoBruteforcer Botnet brute-forces κωδικούς πρόσβασης για FTP, MySQL και phpMyAdmin σε διακομιστές Linux

Ένα εξελιγμένο botnet που βασίζεται στο Go με το όνομα GoBruteforcer στοχεύει επιθετικά διακομιστές Linux σε όλο τον κόσμο, επιβάλλοντας αδύναμους κωδικούς πρόσβασης σε υπηρεσίες που εκτίθενται στο διαδίκτυο, συμπεριλαμβανομένων των FTP, MySQL, PostgreSQL και phpMyAdmin.

Η Έρευνα Check Point τεκμηρίωσε πρόσφατα μια νέα παραλλαγή του κακόβουλου λογισμικού για το 2025 που επιδεικνύει σημαντικές τεχνικές βελτιώσεις σε σχέση με προηγούμενες εκδόσεις και έχει θέσει σε κίνδυνο δεκάδες χιλιάδες διακομιστές.​

Το botnet λειτουργεί μέσω μιας αρθρωτής αλυσίδας μόλυνσης που αποτελείται από κελύφη ιστού, προγράμματα λήψης, bots IRC και στοιχεία bruteforcer.

Σύμφωνα με την ανάλυση του Check Point, περισσότεροι από 50.000 διακομιστές που αντιμετωπίζουν το Διαδίκτυο μπορεί να είναι ευάλωτοι σε επιθέσεις GoBruteforcer, με περίπου 5,7 εκατομμύρια διακομιστές FTP, 2,23 εκατομμύρια διακομιστές MySQL και 560.000 διακομιστές PostgreSQL να εκτίθενται επί του παρόντος στις προεπιλεγμένες θύρες τους.

GoBruteforcer Επαναχρησιμοποίηση διακομιστή που δημιουργείται από AI

Το τρέχον κύμα καμπανιών GoBruteforcer καθοδηγείται από δύο κρίσιμους παράγοντες: τη μαζική επαναχρησιμοποίηση παραδειγμάτων ανάπτυξης διακομιστή που δημιουργούνται από AI που διαδίδουν κοινά ονόματα χρήστη και αδύναμες προεπιλογές και τη διατήρηση παλαιού τύπου στοίβες ιστού όπως το XAMPP που εκθέτουν υπηρεσίες με ελάχιστη σκλήρυνση.

Οι ερευνητές παρατήρησαν ότι το botnet χρησιμοποιεί κοινά λειτουργικά ονόματα χρήστη όπως “appuser” και “myuser” σε λίστες διαπιστευτηρίων brute-force, τα ίδια προεπιλεγμένα ονόματα που προτείνονται συχνά από μεγάλα μοντέλα γλώσσας όταν οι διαχειριστές ζητούν παραδείγματα διαμόρφωσης βάσης δεδομένων.​

Check Point’s έρευνα αποκάλυψε ότι οι λίστες διαπιστευτηρίων GoBruteforcer αλληλεπικαλύπτονται με περίπου το 2,44% μιας βάσης δεδομένων που περιέχει 10 εκατομμύρια κωδικούς πρόσβασης που διέρρευσαν.

Ενώ αυτό το ποσοστό επιτυχίας φαίνεται χαμηλό, ο τεράστιος αριθμός των εκτεθειμένων υπηρεσιών καθιστά τις επιθέσεις ωμής βίας οικονομικά ελκυστικές για τους φορείς απειλών. Η έκθεση του 2024 Cloud Threat Horizons της Google διαπίστωσε ότι τα αδύναμα ή ελλείποντα διαπιστευτήρια αντιπροσώπευαν το 47,2% των διανυσμάτων αρχικής πρόσβασης σε παραβιασμένα περιβάλλοντα cloud, υποστηρίζοντας τη βιωσιμότητα αυτής της μεθόδου επίθεσης.

Ο διακομιστής C2 του botnet μεταδίδει λίστες με 200 διαπιστευτήρια για εργασίες brute-force, με τα προφίλ καμπάνιας να εναλλάσσονται πολλές φορές την εβδομάδα.

Οι λίστες κωδικών πρόσβασης δημιουργούνται από μια σχετικά μικρή βάση δεδομένων 375-600 αδύναμων κωδικών πρόσβασης που χρησιμοποιούνται συνήθως, συμπληρωμένες με παραλλαγές με γεύση χρήστη, όπως “appuser1234” ή “operatoroperator”.

Η παραλλαγή του 2025 εισάγει αρκετές σημαντικές βελτιώσεις σε σχέση με προηγούμενες εκδόσεις, οι οποίες τεκμηριώθηκαν για πρώτη φορά το 2023. Το συστατικό bot IRC έχει ξαναγραφτεί πλήρως στο Go και επισκιάστηκε σε μεγάλο βαθμό με το Garbler, αντικαθιστώντας την προηγούμενη υλοποίηση που βασίζεται στη C.

Το κακόβουλο λογισμικό χρησιμοποιεί τώρα τεχνικές απόκρυψης διεργασιών καλώντας το prctl για να αλλάξει το όνομα της διαδικασίας σε “init” και αντικαθιστώντας τα buffer argv για να κρύψει τα ορίσματα της γραμμής εντολών από τα εργαλεία παρακολούθησης.

Οι ερευνητές ανακάλυψαν μια καμπάνια επικεντρωμένη στα κρυπτονομίσματα, όπου οι παράγοντες απειλών ανέπτυξαν πρόσθετα εργαλεία βασισμένα στο Go σε παραβιασμένους κεντρικούς υπολογιστές, συμπεριλαμβανομένου ενός σαρωτή ισορροπίας TRON και βοηθητικών προγραμμάτων για το TRON και το Binance Smart Chain.

Σε έναν παραβιασμένο διακομιστή, οι ερευνητές ανακάλυψαν ένα αρχείο που περιείχε περίπου 23.000 διευθύνσεις TRON και επιβεβαίωσαν μέσω ανάλυσης συναλλαγών στην αλυσίδα ότι οι επιθέσεις με οικονομικά κίνητρα είχαν επιτυχία.​

Το botnet διατηρεί ανθεκτικότητα μέσω πολλαπλών μηχανισμών: κωδικοποιημένες εναλλακτικές διευθύνσεις C2, μονοπάτια ανάκτησης που βασίζονται σε τομέα και δυνατότητα προώθησης μολυσμένων κεντρικών υπολογιστών ώστε να χρησιμεύουν ως κόμβοι διανομής ή αναμετάδοση IRC.

Οι λειτουργικές μονάδες IRC bot μπορούν να ενημερώνονται δύο φορές την ημέρα, με στοιχεία bruteforcer που κατεβαίνουν μέσω σεναρίων κελύφους ειδικά για την αρχιτεκτονική που επαληθεύουν τα αθροίσματα ελέγχου MD5 πριν από την εκτέλεση.

Οι εκστρατείες GoBruteforcer επιδεικνύουν τόσο ευρείες επιθέσεις ψεκασμού όσο και επιχειρήσεις εστιασμένες στον τομέα. Οι γενικές καμπάνιες χρησιμοποιούν κοινά λειτουργικά ονόματα χρήστη σε συνδυασμό με τυπικούς αδύναμους κωδικούς πρόσβασης, ενώ οι εξειδικευμένες εκδόσεις χρησιμοποιούν ονόματα χρήστη με θέμα κρυπτογράφησης όπως “cryptouser” και “appcrypto” ή διαπιστευτήρια ειδικά για WordPress, όπως “wpuser”.

Το κακόβουλο λογισμικό στοχεύει επίσης ειδικά τις εγκαταστάσεις XAMPP, μια δημοφιλή στοίβα ανάπτυξης που συχνά αποστέλλεται με προεπιλεγμένα διαπιστευτήρια FTP και αντιστοιχίζει τους ριζικούς καταλόγους FTP σε διαδρομές προσβάσιμες στον ιστό.

Η αρχιτεκτονική του botnet επιτρέπει στους μολυσμένους κεντρικούς υπολογιστές να σαρώνουν περίπου 20 διευθύνσεις IP ανά δευτερόλεπτο, διατηρώντας παράλληλα χαμηλή κατανάλωση εύρους ζώνης περίπου 64 kb/s εξερχόμενα και 32 kb/s εισερχόμενα κατά τη διάρκεια εκστρατειών FTP.

Το μέγεθος των ομάδων εργαζομένων βασίζεται στην αρχιτεκτονική της CPU: τα συστήματα 64 bit τρέχουν 95 ταυτόχρονα νήματα brute-force, ενώ τα συστήματα 32 bit τρέχουν λιγότερους εργαζόμενους.

Το κακόβουλο λογισμικό φιλτράρει έξυπνα την επιλογή στόχου, εξαιρουμένων των ιδιωτικών δικτύων, των χώρων παρόχων cloud και των περιοχών IP του Υπουργείου Άμυνας των ΗΠΑ για να αποφύγει τον εντοπισμό.

Οι οργανισμοί μπορούν να μετριάσουν τους κινδύνους του GoBruteforcer εφαρμόζοντας ισχυρές πολιτικές κωδικών πρόσβασης, απενεργοποιώντας τις περιττές υπηρεσίες που έχουν πρόσβαση στο διαδίκτυο, επιβάλλοντας έλεγχο ταυτότητας πολλαπλών παραγόντων και παρακολουθώντας για ύποπτες προσπάθειες σύνδεσης.