وفقًا لبحث جديد أجرته شركة Check Point، يتم اختراق قواعد بيانات مشاريع العملات المشفرة وتقنية البلوك تشين التي تحتوي على بياناتdentضعيفة وبيانات تم إنشاؤها بواسطة الذكاء الاصطناعي من خلال أنماط النشر التي تلتقطها شبكات الروبوتات.
أعلنت شركة الأمن السيبراني أن شبكة برامج خبيثة تُدعى GoBruteforcer قادرة على اختراق خوادم لينكس وتحويلها إلى نقاط وصول آلية لكسر كلمات المرور. وقد أثر برنامج الاختراق هذا على البنية التحتية المستخدمة في مشاريع العملات الرقمية، بما في ذلك خوادم قواعد البيانات وخدمات نقل الملفات ولوحات إدارة المواقع الإلكترونية.
يستطيع برنامج GoBrut مسح الإنترنت بحثًا عن الخدمات ضعيفة الحماية، ومحاولة تسجيل الدخول إليها باستخدام أسماء مستخدمين شائعة وكلمات مرور ضعيفة. وبمجرد اختراق النظام، يُضاف إلى شبكة موزعة يمكن الوصول إليها عن بُعد من قِبل شبكة من المخترقين.
يمكن لشبكة بوتات GoBruteforcer اختراق كلمات المرور غير المدروسة جيدًا
بحسب تقرير شركة تشيك بوينت الذي نُشر الأربعاء الماضي، تستطيع شبكة الروبوتات تجاوز إجراءات الحماية في خدمات مثل FTP وMySQL وPostgreSQL وphpMyAdmin. تُستخدم هذه البرامج من قِبل الشركات الناشئة في مجال تقنية البلوك تشين ومطوري التطبيقات اللامركزية لإدارة بيانات المستخدمين ومنطق التطبيقات ولوحات التحكم الداخلية.
تستطيع الأنظمة التي اخترقها برنامج GoBrute استقبال الأوامر من خادم تحكم، يحدد الخدمة المستهدفة ويُزوّدها ببياناتdentلمحاولات الاختراق العشوائي. تُعاد استخدام بيانات تسجيل الدخول المسربة للوصول إلى أنظمة أخرى، وسرقة البيانات الخاصة، وإنشاء حسابات مخفية، وتوسيع نطاق شبكة الروبوتات.
كما ذكرت شركة Check Point أنه يمكن أيضًا إعادة استخدام الأجهزة المصابة لاستضافة حمولات ضارة، أو توزيع البرامج الضارة على ضحايا جدد، أو أن تصبح خوادم تحكم احتياطية إذا كان النظام الأساسي يعاني من فترات توقف.
تستخدم العديد من فرق التطوير الآن، بما في ذلك تلك التابعة لشركات التكنولوجيا الكبرى مثل مايكروسوفت وأمازون، مقتطفات من التعليمات البرمجية وأدلة الإعداد التي تم إنشاؤها بواسطة نماذج اللغة الكبيرة (LLMs) أو نسخها من المنتديات عبر الإنترنت.
أوضحت شركة Check Point أنه نظرًا لأن نماذج الذكاء الاصطناعي لا تستطيع إنشاء كلمات مرور جديدة وعادة ما تحاكي ما تم تعليمها إياه، فإنها تجعل أسماء المستخدمين وكلمات المرور الافتراضية قابلة للتنبؤ ، ولا تقوم بتغييرها بالسرعة الكافية قبل أن تتعرض الأنظمة للإنترنت.
تصبح المشكلة أكثر خطورة عند استخدام حزم الويب القديمة مثل XAMPP، والتي يمكن أن تعرض الخدمات الإدارية بشكل افتراضي وتوفر نقطة دخول سهلة للمتسللين.
بدأت حملات GoBruteforcer في عام 2023، وفقًا لبحث أجرته الوحدة 42
تم توثيق برنامج GoBruteforcer الخبيث لأول مرة في مارس 2023 من قبل وحدة 42 التابعة لشركة Palo Alto Networks، والتي أوضحت قدرته على اختراق أنظمة شبيهة بنظام Unix بمعماريات x86 و x64 و ARM. يستخدم هذا البرنامج الخبيث روبوت دردشة عبر بروتوكول الإنترنت (IRCA) وواجهة ويب، يستخدمها المهاجمون للحفاظ على وصولهم عن بُعد.
في سبتمبر 2025، اكتشف باحثون في مختبرات بلاك لوتس التابعة لشركة لومين تكنولوجيز أن جزءًا من الأجهزة المصابة المرتبطة بعائلة برمجيات خبيثة أخرى، تُدعى SystemBC، كانت أيضًا عُقدًا لبرنامج GoBruteforcer. قارن محللو شركة تشيك بوينت قوائم كلمات المرور المستخدمة في الهجمات بقاعدة بيانات تضم حوالي 10 ملايين بياناتdentمُسرّبة، ووجدوا تداخلًا بنسبة 2.44% تقريبًا.
استنادًا إلى هذا التداخل، قدّروا أن عشرات الآلاف من خوادم قواعد البيانات يمكنها قبول إحدى كلمات المرور التي تستخدمها شبكة الروبوتات. ووجد تقرير جوجل "آفاق التهديدات السحابية" لعام 2024 أن بياناتdentالضعيفة أو المفقودة كانت مسؤولة عن 47.2% من طرق الوصول الأولية في بيئات الحوسبة السحابية المخترقة.
كشفت الأبحاث أن تقنيات التجسس القائمة على تقنية البلوك تشين والذكاء الاصطناعي تكشف بيانات خاصة
في الحالات التي تم فيها tracGoBrute في بيئات العملات المشفرة، استخدم قراصنة الشبكة أسماء مستخدمين وكلمات مرور ذات طابع تشفيري تتوافق مع اصطلاحات التسمية المستخدمة في مشاريع البلوك تشين. استهدفت حملات أخرى لوحات تحكم phpMyAdmin المرتبطة بمواقع WordPress، وهي خدمة لمواقع المشاريع الإلكترونية ولوحات التحكم.
أوضحت شركة تشيك بوينت أن "بعض المهام تركز بشكل واضح على قطاعات محددة. فعلى سبيل المثال، رصدنا هجومًا استخدم أسماء مستخدمين ذات صلة بالعملات المشفرة، مثل cryptouser وappcrypto وcrypto_app وcrypto. وفي هذه الهجمات، جمعت كلمات المرور المستخدمة بين قائمة كلمات المرور الضعيفة القياسية وتخمينات خاصة بالعملات المشفرة، مثل cryptouser1 أو crypto_user1234"، مع ذكر أمثلة على كلمات المرور.
لقدdentشركة Check Point خادمًا مخترقًا كان يُستخدم لاستضافة وحدة تقوم بمسح عناوين سلسلة كتل TRON والاستعلام عن الأرصدة من خلال واجهة برمجة تطبيقات سلسلة الكتل العامةdentالمحافظ التي تحتوي على الأموال.
وكتبت شركة الأمن: "إن الجمع بين البنية التحتية المكشوفة وبياناتdentالضعيفة والأدوات الآلية المتزايدة. في حين أن شبكة الروبوتات نفسها بسيطة من الناحية التقنية، إلا أن مشغليها يستفيدون من عدد الخدمات التي تم تكوينها بشكل خاطئ على الإنترنت".
