أخرى
#GoBruteforcer
#الأمان_السيبراني
شبكة GoBruteforcer تستهدف أكثر من 50 ألف خادم لينكس
تُعتبر شبكة بوت نت المعروفة باسم "GoBruteforcer" تهديدًا متزايدًا، حيث تستهدف مجموعة واسعة من الخوادم التي يُعتقد أن لديها تكوينات مولدة بواسطة الذكاء الاصطناعي، مما يجعلها جزءًا من شبكة بوت نت يمكن استخدامها لأغراض متعددة. في 7 يناير، قدمت أبحاث Check Point تفاصيل حول هذه الشبكة البوت نت، التي تعتمد على كسر كلمات مرور المستخدمين الضعيفة على خوادم لينكس لخدمات مثل FTP وMySQL وPostgre وphpMyAdmin. يتم تحويل الخوادم التي تتعرض للاختراق بواسطة GoBruteforcer إلى عقد تقوم بعد ذلك بشن هجمات كسر كلمات المرور على خوادم أخرى.
يبدو أن الجهات الفاعلة وراء هذه الشبكة البوت نت مدفوعة بالربح المالي، مع تركيز على سرقة البيانات وبيع الوصول الأولي، وأيضًا مؤخرًا سرقة العملات المشفرة. وتعتقد Check Point أن أكثر من 50,000 خادم متصل بالإنترنت قد يكون عرضة للاختراق بواسطة GoBruteforcer. قالت Check Point في مدونتها: "إن الموجة الحالية من الحملات مدفوعة بعاملين: إعادة استخدام جماعي لأمثلة نشر الخوادم المولدة بواسطة الذكاء الاصطناعي التي تروج لأسماء مستخدمين شائعة وإعدادات افتراضية ضعيفة، واستمرار استخدام الحزم القديمة مثل XAMPP التي تعرض واجهات FTP وإدارة المسؤول مع الحد الأدنى من الحماية."
شبكة GoBruteforcer تستهدف الأهداف السهلة الاختراق
تنقسم GoBruteforcer إلى بوت IRC يتحكم عن بُعد في الخوادم المخترقة، وخوارزمية كسر كلمات المرور قادرة على مسح نطاقات IP العامة لمحاولة تسجيل الدخول. يمكن أن تكون بيانات الاعتماد مشفرة داخل البرمجيات الخبيثة أو تُرسل عبر بنية التحكم والسيطرة (C2) الخاصة بالمهاجم. بالإضافة إلى ذلك، تتضمن الإصدارات الأحدث "بوت IRC مُعقد جدًا (إعادة كتابته بالكامل بلغة Go، ومن هنا جاء الاسم)، وآليات تحسين الاستمرارية، وحيل إخفاء العمليات، وقوائم بيانات اعتماد ديناميكية للخوادم"، وفقًا لما ذكرته Check Point.
الحملة هي حملة انتهازية، تهدف إلى استهداف تركيبات أسماء المستخدمين وكلمات المرور السهلة التخمين التي تتيح للمهاجمين الدخول بسهولة. في هذا السياق، لاحظ الباحثون استخدام GoBruteforcer (الذي تم التقاطه في مصيدة العسل) لأسماء مستخدمين شائعة مثل "myuser" و"appuser"، بالإضافة إلى كلمات مرور شائعة مثل "123321" و"testing".
قالت المدونة: "إن استخدام هذه الأسماء في الهجمات ليس عرضيًا. فقد تم تداول معظمها لسنوات في دروس قواعد البيانات، ووثائق البائعين، وأسئلة وأجوبة المجتمع كأمثلة ملائمة، وتم نسخ الكثير منها إلى بيئات الإنتاج. تُدرب نماذج اللغة الكبيرة (LLMs) على هذه الوثائق العامة وأكواد الأمثلة نفسها. لذا، ليس من المستغرب أن تعيد إنتاج نفس عينات التكوين مع أسماء مستخدمين افتراضية شائعة مثل appuser وmyuser."
كمثال، طلب الباحثون من نموذجين معروفين للغة الكبيرة إنشاء مثيل MySQL في Docker، وكلاهما أنتج كودًا متطابقًا تقريبًا مع أسماء المستخدمين "appuser" و"muyser". كما لاحظت Check Point أيضًا حملات GoBruteforcer التي تعدل مجموعات بيانات الاعتماد بناءً على الهدف، مثل الهجوم الأخير الذي كانت فيه بعض أسماء المستخدمين وكلمات المرور ذات طابع متعلق بالعملات المشفرة.
نقاط مهمة لمتخصصي الأمن السيبراني حول GoBruteforcer
يقول أليكسي بوكتييف، الباحث في Check Point Research، عبر البريد الإلكتروني لـ Dark Reading، إن الخوادم التي تميل إلى التعرض للاختراق في هذه الحملة هي "نشر صغير، مكشوف خارجي (مثل مواقع الويب الصغيرة، وخوادم المجتمع/الألعاب، وبنية المشاريع الصغيرة) حيث يمكن الوصول إلى خدمات مثل MySQL أو PostgreSQL من الإنترنت ومحميّة بكلمات مرور ضعيفة." يضيف بوكتييف: "تقييمنا هو أن الشركات الصغيرة، والشركات الناشئة، والمشغلين الفرديين هم أكثر عرضة لنسخ ولصق مقتطفات النشر 'كما هي' للحصول على الخدمات عبر الإنترنت بسرعة وبشكل رخيص، مما يزيد من تعرضهم لحملات كسر كلمات المرور مثل هذه. ومع ذلك، فإن المؤسسات الكبيرة ليست محصنة. غالبًا ما تمتلك الشركات ضوابط أقوى (تقسيم، لوحات إدارة مقيدة، إدارة وصول الهوية المركزية [IAM]، مراقبة)، لذا قد تكون أقل عرضة لتعرض هذه الخدمات مباشرة. لكن نفس المخاطر يمكن أن تظهر في بيئات التطوير/الاختبار، أو مثيلات السحابة قصيرة العمر، أو النشر غير المهيأ لإثبات المفهوم."
بينما تتضمن مدونة Check Point مؤشرات على الاختراق (IoCs)، فإن المشكلة التي تطرحها GoBruteforcer تعالجها تحسينات في الأمن، وفقًا للشركة. على المستوى الأساسي، قد يعني ذلك ضمان وجود أسماء مستخدمين وكلمات مرور قوية. لكن من المؤكد أن الحماية الكافية ستتطلب المزيد من العمل. وفقًا للباحثين، "مع انخفاض الحواجز أمام نشر الخوادم بفضل الذكاء الاصطناعي التوليدي، من المحتمل أن تزداد مخاطر الإعدادات الافتراضية غير الآمنة. يتطلب معالجة هذا النوع من التهديدات ليس فقط جهود الكشف والإزالة، ولكن أيضًا تجديد الانتباه لممارسات التكوين الآمن، ونظافة بيانات الاعتماد، وإدارة التعرض المستمرة."
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!