Скачали "брутфорсер" SSH? Проверьте, не работаете ли вы на российского хакера

Специалисты Socket выявили вредоносный Go-пакет под названием golang-random-ip-ssh-bruteforce, который маскируется под инструмент для перебора паролей по SSH , но на деле крадёт учётные данные и отправляет их своему автору через Telegram. Код модуля устроен так, что при первом успешном входе он немедленно пересылает IP-адрес цели, имя пользователя и пароль в бот по жёстко прописанному адресу, а затем завершает работу, оставляя добычу в распоряжении злоумышленника.

Пакет работает в бесконечном цикле: генерирует случайные IPv4-адреса, проверяет доступность TCP-порта 22 и, если тот открыт, запускает параллельные попытки аутентификации из локального словаря логинов и паролей. В конфигурации отключена проверка подлинности сервера с помощью ssh.InsecureIgnoreHostKey, что делает подключение максимально упрощённым. На первом удачном входе код собирает комбинацию ip:user:pass и через запрос к Telegram Bot API пересылает её в приватный чат злоумышленника. Тесты показали, что связка бот-токена и ID чата активна: учётные данные уходят в аккаунт под ником @io_ping через бота @sshZXC_bot.

Словарь, встроенный в пакет, довольно ограничен — всего две учётные записи root и admin в паре с типовыми паролями вроде root, toor, raspberry, dietpi, alpine, 123456, а также с вариантами webadmin, webmaster, techsupport и другими. Такой набор явно ориентирован на IoT-устройства , одноплатные компьютеры и плохо защищённые Linux-хосты с заводскими настройками. Ограниченность базы снижает шум при переборе и ускоряет нахождение первых слабых целей, что согласуется с логикой выхода из программы после первой удачи.

Автором модуля является российский разработчик, известный в экосистеме Go и на GitHub под псевдонимом IllDieAnyway. Его профиль содержит целый набор наступательных утилит: быстрые порт-сканеры, инструмент для перебора паролей к phpMyAdmin с отправкой результатов в Telegram, фреймворк управления Selica-C2, а также средства для DDoS-атак. Многие проекты построены по одной схеме — при успешной атаке данные жертвы отправляются оператору через Telegram. Репозитории IllDieAnyway написаны с многочисленными русскоязычными комментариями и документацией, встречаются инструменты для социальной сети «ВКонтакте». Основываясь на этих фактах, специалисты пришли к выводу, что разработчик принадлежит к русскоязычной среде.

Опасность пакета двойная. С одной стороны, его установка означает участие в незаконных действиях: сканировании сетей и попытках подбора паролей, что может привести к блокировке провайдерами и уголовным последствиям. С другой — оператор сам становится жертвой: все его «успехи» немедленно переходят к автору, а ресурсы расходуются в пользу чужой инфраструктуры. Таким образом, любой, кто запускает golang-random-ip-ssh-bruteforce, фактически работает на постороннего злоумышленника.

Специалисты рекомендуют придерживаться жёсткой гигиены цепочки поставок ПО : проверять код сторонних инструментов перед использованием, блокировать сетевые обращения к Telegram API и аналогичным сервисам, ограничивать исходящие соединения с рабочих станций, где такие утилиты запускаться не должны. На уровне детектирования стоит обращать внимание на признаки вроде вызова ssh.InsecureIgnoreHostKey, наличие словаря wl.txt с паролями по умолчанию и жёстко прошитых запросов к Telegram.