Спросили ChatGPT как настроить сервер? Хакеры тоже — и теперь взламывают 50 тысяч систем за раз, потому что у всех один пароль

Исследователи зафиксировали новую волну атак ботнета GoBruteforcer, нацеленных на серверы криптовалютных и блокчейн-проектов. Под ударом оказываются открытые в интернет базы данных и панели управления, которые, как предполагается, были настроены по примерам, сгенерированным ИИ.

GoBruteforcer, или сокращённо GoBrut, — это ботнет на языке Go, который специализируется на подборе паролей к публично доступным сервисам. В числе его обычных целей — FTP, MySQL, PostgreSQL и phpMyAdmin. Для распространения он использует уже взломанные Linux-серверы, с которых сканирует случайные IP-адреса и запускает атаки перебора учётных данных.

По оценке Check Point, в интернете сейчас может находиться более 50 тысяч серверов, потенциально уязвимых для таких атак. Часто начальной точкой взлома становятся FTP-сервисы в составе XAMPP. Во многих случаях они остаются с настройками по умолчанию и слабыми паролями, если администратор не прошёл полную процедуру усиления безопасности.

Если злоумышленнику удаётся войти в FTP под стандартной учётной записью вроде daemon или nobody, следующим шагом обычно становится загрузка веб-шелла в каталог сайта. Аналогичный результат можно получить и через неправильно настроенные MySQL-серверы или панели phpMyAdmin. После этого цепочка заражения продолжается: на сервер загружается загрузчик, затем IRC-бот и, наконец, модуль перебора паролей.

Активная фаза атаки начинается не сразу, а с задержкой от 10 до 400 секунд. После этого вредонос запускает до 95 параллельных потоков на системах с архитектурой x86_64. Они сканируют случайные публичные диапазоны IPv4, при этом избегая приватных сетей, облачной инфраструктуры AWS и сетей правительственных учреждений. Каждый поток проверяет 1 случайный адрес, пробует подключиться к нужному сервису, перебирает список учётных данных и завершает работу. Новые потоки запускаются постоянно, чтобы поддерживать заданный уровень нагрузки.

Модуль для FTP использует жёстко зашитый в бинарный файл список из 22 пар логинов и паролей. Эти комбинации хорошо совпадают с типичными учётными записями и паролями по умолчанию, которые часто встречаются в хостинговых окружениях вроде XAMPP.

Отдельное внимание в отчёте Check Point уделено тому, что последние кампании GoBruteforcer подпитываются массовым использованием шаблонных конфигураций, созданных большими языковыми моделями. В таких примерах нередко фигурируют предсказуемые имена пользователей — appuser, myuser, operator и подобные. Эти же имена затем попадают в реальные Docker- и DevOps-настройки, что делает системы удобной целью для атак с подбором паролей.

Второй фактор — устаревшие серверные сборки, включая XAMPP, которые по-прежнему поставляются с открытым FTP и стандартными учётными данными. Такие установки дают злоумышленникам прямой доступ к webroot и возможность без особых препятствий размещать вредоносный код.

В 1 из разобранных случаев взломанный сервер использовался для поиска и кражи криптовалют. На нём были обнаружены инструменты для сканирования кошельков сети TRON, а также Binance Smart Chain. Атакующие применяли файл примерно с 23 тысячами адресов TRON и с помощью автоматизированных утилит проверяли их на наличие средств, после чего опустошали кошельки с ненулевым балансом.

Администраторам советуют отказаться от слепого копирования ИИ-сгенерированных инструкций по развёртыванию сервисов, использовать нестандартные имена пользователей и сложные уникальные пароли. Также рекомендуется проверить, не открыты ли в интернет FTP, phpMyAdmin, MySQL и PostgreSQL, и по возможности заменить устаревшие стеки вроде XAMPP на более современные и безопасные решения.