Gyenge jelszavakkal buknak a rendszerek
A kutatók szerint világszerte több mint 50 000 olyan kiszolgáló van, amelyet érinthet a GoBrut támadási hulláma. A támadóknak gyakran sikerül bejutniuk, mert például az XAMPP alapértelmezett FTP-fiókjai gyenge vagy alap jelszavakkal vannak beállítva, hacsak az admin aktívan nem változtat ezeken. Ha sikerül feltörni az FTP-t – legtöbbször a „daemon” vagy „nobody” nevű felhasználóval –, a hekkerek webes shellt töltenek fel, amellyel teljesen átvehetik az irányítást. Ezt akár rosszul beállított MySQL- vagy phpMyAdmin-panelek is megkönnyíthetik.
Automatizált támadás és kriptotárcák fosztogatása
A GoBruteforcer minden indításnál 10–400 másodpercet vár, majd x86_64-es rendszereken akár 95 párhuzamos próbálkozással támad. Véletlenszerűen generált IP-címeken próbálkozik, de a privát, az AWS-hez, illetve az amerikai kormányzathoz tartozó címeket kihagyja. Az FTP-modul 22 előre beégetett, gyakran használt felhasználónév–jelszó-párossal próbálkozik, amelyek többsége XAMPP- vagy webhoszting-környezetre jellemző. Az MI által generált leírások nemcsak ugyanazokat a felhasználóneveket és jelszavakat ismétlik (például: appuser, myuser, operator), hanem sok admin ezeket át is veszi, így a szerverek tömegesen válnak sebezhetővé.
Egy ismert támadás során a hekkerek beépített TRON- és Binance Smart Chain-tárcakereső eszközökkel több tízezer cím között pásztáztak, és minden olyan pénztárcát kiürítettek, ahol találtak pénzt.
Védekezés: Ne másolj MI-generált példákat!
A védelem az alap jelszavak lecserélésével, egyedi felhasználónevek és erős jelszavak választásával javítható. Fontos a nyitott FTP-, MySQL-, PostgreSQL- és phpMyAdmin-szolgáltatások rendszeres ellenőrzése, valamint az elavult (például XAMPP-alapú) szerververziók korszerűbb rendszerekre cseréje.
