Согласно новому исследованию компании Check Point, базы данных криптовалютных и блокчейн-проектов со слабымиdentданными и данными, сгенерированными искусственным интеллектом, взламываются с помощью ботнетов, которые отслеживают схемы их развертывания.
По данным компании, занимающейся кибербезопасностью, ботнет вредоносного ПО под названием GoBruteforcer способен взламывать серверы Linux и превращать их в автоматизированные узлы для взлома паролей. Эта хакерская программа затронула инфраструктуру, используемую криптопроектами, включая серверы баз данных, сервисы передачи файлов и панели веб-администрирования.
GoBrut может сканировать интернет в поисках плохо защищенных сервисов и пытаться войти в них, используя распространенные имена пользователей и слабые пароли. После взлома система добавляется в распределенную сеть, к которой может получить удаленный доступ сеть хакеров.
Ботнет GoBruteforcer способен взламывать даже самые невнятно составленные пароли
Согласно отчету Check Point, опубликованному в прошлую среду, ботнет способен обходить защиту таких сервисов, как FTP, MySQL, PostgreSQL и phpMyAdmin. Эти программы используются блокчейн-стартапами и разработчиками децентрализованных приложений для управления пользовательскими данными, логикой приложений и внутренними панелями управления.
Взломанные GoBrute системы могут принимать команды от командно-контрольного сервера, указывая, какой сервис атаковать, и предоставляяdentданные для попыток подбора паролей методом перебора. Полученные данные для входа используются для доступа к другим системам, кражи личных данных, создания скрытых учетных записей и расширения возможностей ботнета.
Компания Check Point также упомянула, что зараженные хосты могут быть перепрофилированы для размещения вредоносных программ, распространения вредоносного ПО среди новых жертв или в качестве резервных серверов управления в случае простоя основной системы.
Сегодня многие команды разработчиков, в том числе из крупных технологических компаний, таких как Microsoft и Amazon, используют фрагменты кода и руководства по настройке, созданные с помощью больших языковых моделей (LLM) или скопированные с онлайн-форумов.
Компания Check Point объяснила, что, поскольку модели ИИ не могут создавать новые пароли и обычно имитируют то, чему их научили, имена пользователей и пароли по умолчанию становятся очень предсказуемыми , не меняя их достаточно быстро до того, как системы будут подключены к интернету.
Проблема становится еще более серьезной при использовании устаревших веб-стеков, таких как XAMPP, которые могут по умолчанию предоставлять доступ к административным сервисам и служить легкой точкой входа для хакеров.
Как показало исследование Unit 42, кампании GoBruteforcer начались в 2023 году
Вредоносная программа GoBruteforcer была впервые описана в марте 2023 года подразделением Unit 42 компании Palo Alto Networks, которое подробно описало её способность взламывать Unix-подобные системы на архитектурах x86, x64 и ARM. Вредоносная программа использует бота Internet Relay Chat и веб-оболочку, которые злоумышленники применяют для обеспечения удалённого доступа.
В сентябре 2025 года исследователи из Black Lotus Labs, подразделения Lumen Technologies, обнаружили, что часть зараженных машин, связанных с другим семейством вредоносных программ, SystemBC, также являлись узлами GoBruteforcer. Аналитики Check Point сравнили списки паролей, использованных в атаках, с базой данных, содержащей примерно 10 миллионов утечекdent, и обнаружили совпадение примерно в 2,44%.
На основе этого совпадения они подсчитали, что десятки тысяч серверов баз данных могли принимать один из паролей, используемых ботнетом. В отчете Google «Горизонты угроз в облачной среде 2024» было установлено, что слабые или отсутствующиеdentданные были причиной 47,2% первоначальных векторов доступа в взломанных облачных средах.
Исследование показало, что использование блокчейна и искусственного интеллекта для разведки приводит к утечке конфиденциальных данных
В тех случаях, когда GoBrute был tracв криптовалютных средах, сетевые хакеры использовали имена пользователей и варианты паролей, связанные с криптовалютами, которые соответствовали правилам именования в блокчейн-проектах. Другие кампании были направлены на панели phpMyAdmin, связанные с сайтами WordPress, сервисом для веб-сайтов и панелей управления проектами.
«Некоторые задачи явно ориентированы на конкретную отрасль. Например, мы наблюдали атаку с использованием криптографически связанных имен пользователей, таких как cryptouser, appcrypto, crypto_app и crypto. В этих запусках использовались пароли, сочетающие стандартный список слабых паролей со специфическими для криптографии вариантами, такими как cryptouser1 или crypto_user1234», — заявили в Check Point, приводя примеры паролей.
Компания Check Pointdentскомпрометированный сервер, используемый для размещения модуля, который сканировал адреса блокчейна TRON и запрашивал балансы через публичный API блокчейна дляdentкошельков, содержащих средства.
«Сочетание уязвимой инфраструктуры, слабыхdentданных и все более автоматизированных инструментов. Хотя сама ботнет-сеть технически проста, ее операторы получают выгоду от количества неправильно настроенных онлайн-сервисов», — написала компания, занимающаяся вопросами безопасности.
