GoBruteforcer nomli zararli dastur botneti Linux serverlarini buzish va ularni avtomatlashtirilgan parol sindirish tugunlariga aylantirish imkoniyatiga ega, deydi kiberxavfsizlik kompaniyasi. Ushbu xakerlik dasturi crypto loyihalari foydalanadigan infratuzilmaga, jumladan, ma’lumotlar bazasi serverlari, fayl uzatish xizmatlari va veb-administratsiya panellariga ta’sir ko‘rsatgan.
GoBrut internetda yetarlicha himoyalanmagan xizmatlarni skanerlashi va mashhur foydalanuvchi nomlari hamda zaif parollar orqali xizmatlarga kirishga urinish imkoniyatiga ega. Tizim buzilgandan so‘ng, u xakerlar tarmog‘i tomonidan masofadan boshqariladigan tarqatilgan tarmoqqa qo‘shiladi.
GoBruteforcer botneti yuzaki o‘ylangan parollarni buzishi mumkin
Check Point hisobotiga ko‘ra o‘tgan chorshanba kuni e’lon qilingan, botnet FTP, MySQL, PostgreSQL va phpMyAdmin kabi xizmatlardagi himoyani chetlab o‘ta oladi. Ushbu dasturlar blockchain startaplari va markazlashmagan ilova ishlab chiquvchilari tomonidan foydalanuvchi ma’lumotlarini, ilova mantiqini va ichki boshqaruv panellarini boshqarish uchun ishlatiladi.
GoBrute tomonidan buzilgan tizimlar buyruq va boshqaruv serveridan buyruqlar qabul qila oladi, qaysi xizmatga hujum qilish va kuchli urinib ko‘rish uchun parollarni taqdim etishni belgilaydi. Oshkor etilgan login ma’lumotlari boshqa tizimlarga kirish, maxfiy ma’lumotlarni o‘g‘irlash, yashirin akkauntlar yaratish va botnet qamrovini kengaytirish uchun qayta ishlatiladi.
Check Point shuningdek, zararlangan hostlar zararli yuklamalarni joylashtirish, yangi qurbonlarga zararli dastur tarqatish yoki asosiy tizim ishlamay qolsa, zaxira boshqaruv serverlariga aylanishi mumkinligini ham qayd etdi.
Hozirda ko‘plab dasturchilar, jumladan Microsoft va Amazon kabi yirik texnologik kompaniyalar xodimlari, yirik til modellari (LLM) orqali yaratilgan kod parchalaridan yoki internet forumlaridan ko‘chirib olingan sozlash qo‘llanmalaridan foydalanmoqda.
Check Point tushuntirishicha, sun’iy intellekt modellari yangi parollar yaratolmaydi va odatda ularga o‘rgatilgan ma’lumotlarni takrorlaydi, shuning uchun ular foydalanuvchi nomlari va standart parollarni juda oson taxmin qilinadigan qilib yaratadi va tizimlar internetga ochiq bo‘lishidan oldin ularni tezda o‘zgartirmaydi.
Muammo ayniqsa, XAMPP kabi eski veb-stacklar ishlatilganda kuchayadi, chunki ular odatda administrativ xizmatlarni sukut bo‘yicha ochiq qoldiradi va xakerlar uchun oson kirish nuqtasini taqdim etadi.
GoBruteforcer kampaniyalari 2023-yilda boshlangan, Unit 42 tadqiqoti aniqladi
GoBruteforcer birinchi marta 2023-yil mart oyida Palo Alto Networks’ning Unit 42 bo‘limi tomonidan hujjatlashtirilgan bo‘lib, uning Unix-ga o‘xshash tizimlar, x86, x64 va ARM arxitekturalarini buzish qobiliyati batafsil bayon qilingan. Zararli dastur Internet Relay Chat boti va veb qobig‘ini joylashtiradi, bu orqali xakerlar uzoqdan kirishni saqlab qoladi.
2025-yil sentabr oyida Lumen Technologies’ning Black Lotus Labs tadqiqotchilari SystemBC deb nomlangan boshqa zararli dastur oilasiga bog‘langan ayrim zararlangan qurilmalar ham GoBruteforcer tugunlari ekanligini aniqladi. Check Point tahlilchilari hujumlarda ishlatilgan parol ro‘yxatlarini taxminan 10 million oshkor bo‘lgan parol ma’lumotlar bazasi bilan solishtirib, taxminan 2,44% moslikni aniqlashdi.
Shu moslikdan kelib chiqib, ular o‘n minglab ma’lumotlar bazasi serverlari botnet tomonidan ishlatilgan parollardan birini qabul qilishi mumkinligini taxmin qilishdi. Google’ning 2024-yil Cloud Threat Horizons hisobotiga ko‘ra, zaif yoki yetishmayotgan parollar bulut muhitiga kirib borishning dastlabki vektorlarining 47,2% uchun javobgar bo‘lgan.
Blockchain va AI razvedkasi maxfiy ma’lumotlarni fosh qiladi, tadqiqot ko‘rsatmoqda
GoBrute cryptocurrency muhitida aniqlangan holatlarda tarmoq xakerlari blockchain loyihalaridagi nomlash standartlariga mos keladigan, crypto mavzusidagi foydalanuvchi nomlari va parol variantlaridan foydalangan. Boshqa kampaniyalar WordPress saytlariga bog‘langan phpMyAdmin panellarini nishonga olgan, bu xizmat loyiha saytlarida va boshqaruv panellarida ishlatiladi.
“Ba’zi vazifalar aniq sektorga yo‘naltirilgan. Masalan, biz cryptouser, appcrypto, crypto_app va crypto kabi crypto mavzusidagi foydalanuvchi nomlaridan foydalanilgan hujumni kuzatdik. Ushbu urinishlarda ishlatilgan parollar standart zaif ro‘yxat va crypto’ga oid taxminga asoslangan, masalan, cryptouser1 yoki crypto_user1234,” – dedi Check Point, parollarga misollar keltirib.
Check Point bir buzilgan serverda TRON blockchain manzillarini skanerlovchi va jamoat blockchain API orqali balanslarni so‘rovchi modul joylashtirilganini aniqladi, maqsad – mablag‘ saqlanayotgan hamyonlarni aniqlash.
“Ochilgan infratuzilma, zaif parollar va tobora avtomatlashtirilayotgan vositalar uyg‘unligi. Botnetning o‘zi texnik jihatdan oddiy bo‘lsa-da, uning operatorlari internetda noto‘g‘ri sozlangan xizmatlar sonidan foyda ko‘radi,” – deb yozdi xavfsizlik kompaniyasi.
Agar siz bu maqolani o‘qiyotgan bo‘lsangiz, allaqachon oldindasiz. Bizning axborot byulletenimiz bilan shu o‘rinda qoling.
