Nuova ondata di attacchi GoBruteforcer, lIA sfruttata per il brute-force

I ricercatori di Check Point Research hanno individuato una nuova ondata di attacchi GoBruteforcer, una botnet modulare scritta in Go progettata per colpire server Linux esposti su internet.

Individuata per la prima volta nel 2023, nel corso del tempo la botnet si è evoluta specializzandosi in varianti sempre più sofisticate. Come suggerisce il nome, GoBruteforce sfrutta la tecnica brute-force per forzare l’accesso a servizi critici come FTP, MySQL, PostgreSQL e phpMyAdmin. Una volta preso il controllo, il server infetto viene arruolato nella botnet.

La nuova ondata di attacchi preoccupa i ricercatori per via dell’efficacia dei dizionari di password utilizzati: nell’ultima campagna gli attaccanti non si stanno limitando a usare vecchi elenchi provenienti da leak, ma stanno sfruttando anche la diffusione di configurazioni server generate da IA.

Sempre più sistemisti si affidano infatti all’intelligenza artificiale per generare script di deployment o file Docker Compose; questi script condividono spesso username standard (come “appuser”, “myuser” o “dbadmin”) e password deboli di default che non vengono cambiate. “I modelli linguistici di grandi dimensioni (LLM) vengono addestrati sulla stessa documentazione pubblica e sugli stessi codici di esempio. Non sorprende quindi che spesso riproducano gli stessi esempi di configurazione con nomi utente predefiniti popolari come appuser e myuser” spiega il team di Check Point Research.

Se da una parte l’intelligenza artificiale abbassa la barriera d’accesso permettendo anche a persone con poca esperienza operativa di creare un database in pochi minuti, usare gli script generati a occhi chiusi comporta un uso più esteso di configurazioni standard e quindi una proliferazione di username e password comuni.Secondo i ricercatori della compagnia, è molto probabile che questa tendenza renda più efficaci gli attacchi GoBruteforcer.

Un altro punto critico evidenziato da Check Point è la persistenza di stack tecnologici datati come XAMPP su server Linux: questi pacchetti “tutto in uno” spesso espongono interfacce di amministrazione e server FTP con configurazioni di sicurezza minime o assenti, rendendoli bersagli ideali per l’automazione della botnet.

La nuova campagna GoBruteforcer

Se in passato la botnet era usata in maniera generica, dall’ultima campagna osservata emerge una chiara motivazione finanziaria. Su uno dei server compromessi i ricercatori hanno trovato un kit di strumenti specializzati in criptovalute: uno scanner di bilancio per la rete TRON, alcune utility di “token-sweeping” per TRON e Binance Smart Chain usate per svuotare automaticamente i wallet non appena rilevano fondi e un database contenente circa 23.000 indirizzi TRON.L’analisi delle transazioni on-chain ha confermato che diversi attacchi hanno avuto successo.

L’accesso iniziale avviene sfruttando vulnerabilità in applicazioni web o credenziali deboli; in seguito, il malware installa un bot IRC offuscato che consente agli attaccanti di inviare comandi e ricevere aggiornamenti sullo stato del server. Gli attaccanti possono controllare i bot nella rete sia tramite web shell che tramite il bot IRC.

Il malware è in grado di sopravvivere al riavvio del serve e per il mascheramento utilizza tecniche di process-masking per nascondersi tra i processi di sistema legittimi. Terminato il setup, il server compromesso inizia a scansionare blocchi di indirizzi IP per tentare l’accesso ad altri server e propagare l’infezione.

“GoBruteforcer è un esempio perfetto di come gli autori delle minacce utilizzino “bersagli facili” come tattiche apparentemente poco sofisticate (attacchi con password deboli, indirizzi IP casuali) per compromettere un gran numero di sistemi connessi a Internet con uno sforzo relativamente minimo” sottolineano i ricercatori.

Il ritorno della botnet è un reminder importante del fatto che la sicurezza non passa solo per le patch dei software, ma anche per l’igiene delle configurazioni. Nel caso si utilizzi l’IA per generare script di configurazione, è fondamentale cambiare immediatamente ogni username e password suggeriti. È importante inoltre disabilitare l’accesso remoto root per i database e utilizzate l’autenticazione a due fattori o chiavi SSH ovunque possibile.