تستهدف شبكة GoBruteforcer مجموعة واسعة من الخوادم، مما يشكل تهديدًا كبيرًا للأمن السيبراني.
تستهدف شبكة بوتنت تُعرف باسم “GoBruteforcer” مجموعة واسعة من الخوادم التي يشتبه الباحثون في أنها تستخدم تكوينات مولدة بواسطة الذكاء الاصطناعي.
في 7 يناير، قدمت Check Point Research تفاصيل حول هذه الشبكة المودولارية، التي تقوم بفرض كلمات مرور ضعيفة على خوادم لينكس لخدمات مثل FTP وMySQL وPostgre وphpMyAdmin. يتم تحويل الخوادم التي يتم اختراقها بواسطة GoBruteforcer إلى عقدة تُطلق بعد ذلك هجمات القوة الغاشمة على خوادم أخرى.
يبدو أن المهاجمين وراء هذه الشبكة مدفوعون بدوافع مالية، مع التركيز على سرقة البيانات وكذلك بيع الوصول الأولي، ومؤخراً، سرقة العملات المشفرة. تتوقع Check Point أن أكثر من 50,000 خادم متصل بالإنترنت قد يكون عرضة لهجمات GoBruteforcer.
“تُعزى الحملة الحالية إلى عاملين: إعادة استخدام جماعي لأمثلة نشر الخوادم المولدة بواسطة الذكاء الاصطناعي التي تنشر أسماء مستخدمين شائعة وإعدادات ضعيفة، واستمرار استخدام حزم الويب القديمة مثل XAMPP التي تعرض واجهات FTP والإدارة مع الحد الأدنى من الحماية،” كما قالت Check Point في منشور مدونتها.
على الرغم من أن GoBruteforcer تم الإبلاغ عنه لأول مرة علنًا في عام 2023، فقد غطت Check Point متغيرًا أحدث في منشور مدونتها مع مجموعة ميزات أكثر تطورًا وتحسينات في التعتيم.
كيف تعمل GoBruteforcer
تنقسم GoBruteforcer إلى بوت IRC يتحكم عن بُعد في الخوادم المخترقة وأداة قوة غاشمة للخادم قادرة على مسح نطاقات IP العامة لمحاولة تسجيل الدخول. يمكن أن تكون بيانات الاعتماد مشفرة في البرمجيات الخبيثة أو تُرسل عبر بنية التحكم في الأوامر (C2) الخاصة بالمهاجم. بالإضافة إلى هذه الميزات، تشمل الإصدارات الأحدث “بوت IRC معقد التعتيم (إعادة كتابته بالكامل بلغة Go)، وآليات استمرارية محسنة، وحيل لإخفاء العمليات، وقوائم بيانات اعتماد ديناميكية للخوادم،” كما قالت Check Point.
تستهدف الحملة الأهداف السهلة، حيث تسعى للحصول على تركيبات أسماء مستخدمين وكلمات مرور سهلة التخمين تسمح للمهاجمين بالدخول بسهولة. في هذا السياق، لاحظ الباحثون أن GoBruteforcer (الذي تم التقاطه في فخ العسل) يستخدم أسماء مستخدمين تشغيلية شائعة مثل “myuser” و”appuser”، بالإضافة إلى كلمات مرور شائعة مثل “123321” و”testing.”
“استخدام هذه الأسماء في الهجمات ليس عرضيًا. فقد تم تداول معظمها لسنوات في دروس قواعد البيانات، والوثائق الخاصة بالموردين، والأسئلة والأجوبة المجتمعية كأمثلة ملائمة، تم نسخ العديد منها إلى بيئات الإنتاج،” كما جاء في المدونة. “تُدرّب نماذج اللغة الكبيرة (LLMs) على نفس الوثائق العامة وأكواد الأمثلة. لذا، ليس من المفاجئ أن تعيد إنتاج نفس عينات التكوين مع أسماء مستخدمين افتراضية شائعة مثل appuser وmyuser.”
على سبيل المثال، طلب الباحثون من نموذجين معروفين لإنشاء مثيل MySQL في Docker، وكلاهما أنتج كودًا متطابقًا تقريبًا مع أسماء المستخدمين “appuser” و”muyser”.
كما لاحظت Check Point أيضًا حملات GoBruteforcer التي تعدل مجموعات بيانات الاعتماد حسب الهدف، مثل هجوم حديث حيث كانت بعض أسماء المستخدمين وكلمات المرور تتعلق بالعملات المشفرة.
نصائح المدافعين ضد GoBruteforcer
يخبر أليكسي بوكتييف، الباحث في Check Point Research، موقع Dark Reading عبر البريد الإلكتروني أن الخوادم التي تميل إلى أن تتعرض للاختراق في هذه الحملة هي “نشر صغيرة، تواجه الإنترنت (مثل مواقع الويب الصغيرة، وخوادم المجتمع/الألعاب، وبنية المشاريع الصغيرة) حيث تكون خدمات مثل MySQL أو PostgreSQL متاحة من الإنترنت ومحميّة بكلمات مرور ضعيفة.”
“تقييمنا هو أن الشركات الصغيرة، والشركات الناشئة، والمشغلين المنفردين هم أكثر عرضة لنسخ ولصق مقتطفات النشر ‘كما هي’ للحصول على الخدمات عبر الإنترنت بسرعة وبشكل رخيص، مما يزيد من تعرضهم لحملات رش كلمات المرور مثل هذه،” يقول بوكتييف. “ومع ذلك، فإن المنظمات الأكبر ليست محصنة. غالبًا ما تمتلك الشركات الكبيرة ضوابط أقوى (تقسيم، لوحات إدارة مقيدة، إدارة هوية مركزية، مراقبة)، لذا قد تكون أقل عرضة لتعرض هذه الخدمات مباشرة. لكن نفس المخاطر يمكن أن تظهر في بيئات التطوير/الاختبار، أو الحالات السحابية قصيرة الأجل، أو النشر غير المهيأ كنموذج أولي.”
بينما تتضمن مدونة Check Point مؤشرات على الاختراق، فإن المشكلة التي تطرحها GoBruteforcer هي مشكلة يتم معالجتها من خلال تحسين الأمن، كما قالت الشركة. على المستوى الأساسي، قد يعني ذلك ضمان وجود أسماء مستخدمين وكلمات مرور قوية. ولكن من المؤكد أن الحماية الكافية ستتطلب المزيد من العمل.
“مع انخفاض الحواجز أمام نشر الخوادم بفضل الذكاء الاصطناعي التوليدي، من المحتمل أن تزداد مخاطر الإعدادات الافتراضية غير الآمنة،” قالت Check Point. “يتطلب معالجة هذا النوع من التهديدات ليس فقط جهود الكشف والإزالة، ولكن أيضًا تجديد الانتباه إلى ممارسات التكوين الآمن، ونظافة بيانات الاعتماد، وإدارة التعرض المستمرة.”
تتطلب حماية الخوادم من تهديدات مثل GoBruteforcer تحسينات مستمرة في الأمن والوعي بممارسات التكوين الآمن.
