اكتشف باحثو الأمن السيبراني وحدة خبيثة مكتوبة بلغة Go تتظاهر بأنها أداة لكسر كلمات مرور بروتوكول SSH، لكنها في الحقيقة مصممة لسرقة بيانات الاعتماد وإرسالها سرًا إلى خادم المهاجم عبر بوت تليغرام.
آلية عمل الوحدة الخبيثة
وفقًا لتقرير الباحث كيريل بويتشينكو من شركة Socket، يقوم البرنامج الخبيث عند أول تسجيل دخول ناجح بإرسال عنوان IP المستهدف واسم المستخدم وكلمة المرور مباشرة إلى بوت تليغرام خاضع لسيطرة المهاجم.
تحمل الحزمة اسم golang-random-ip-ssh-bruteforce وقد ارتبطت بحساب GitHub باسم IllDieAnyway (G3TT) الذي لم يعد متاحًا حاليًا، رغم استمرار وجودها على موقع pkg.go.dev منذ نشرها في يونيو 2022.
تعمل الأداة من خلال مسح عناوين IPv4 عشوائية بحثًا عن خدمات SSH مكشوفة على المنفذ 22/TCP، ثم محاولة تسجيل الدخول باستخدام قائمة مدمجة من أسماء المستخدمين وكلمات المرور الضعيفة. وفي حال النجاح، تُرسل البيانات فورًا إلى المهاجم.
تجاوز التحقق الأمني واستغلال كلمات المرور الضعيفة
واحدة من أبرز سمات البرمجية الخبيثة أنها تعمد إلى تعطيل التحقق من هوية الخادم عبر تفعيل خيار ssh.InsecureIgnoreHostKey، مما يسمح بقبول الاتصال من أي خادم دون التحقق من مفاتيح التشفير.
تتضمن قائمة كلمات المرور المستخدمة كلمات شائعة مثل: root، test، password، admin، 12345678، 1234، qwerty، webadmin، webmaster، techsupport، letmein، وPassw@rd، إلى جانب أسماء مستخدمين مثل root وadmin.
تسريب البيانات عبر بوت تليغرام
يدير المهاجم العملية من خلال بوت تليغرام باسم @sshZXC_bot، والذي يرسل البيانات بعد ذلك إلى حساب آخر تحت اسم @io_ping (Gett). ويُلاحظ أن الكود الخبيث يعمل في حلقة لا نهائية لتوليد عناوين IPv4 ومحاولة تسجيل الدخول بشكل متزامن وسريع، ثم الخروج بعد أول نجاح لضمان جمع بيانات الاعتماد بسرعة.
هوية الفاعل وتوسّع النشاط
تكشف لقطات أرشيف الإنترنت لحساب GitHub المحذوف أن محفظة المهاجم G3TT تضمنت أدوات أخرى مثل ماسح منافذ IP، ومحلل بيانات حسابات إنستغرام، إضافةً إلى شبكة بوت نت للتحكم عن بُعد مبنية بلغة PHP باسم Selica-C2.
كما يستضيف قناته على يوتيوب مقاطع قصيرة تشرح “كيفية اختراق بوت تليغرام” وأداة يصفها بأنها “أقوى مفجر رسائل SMS في روسيا”، قادر على إرسال رسائل عشوائية لمستخدمي VK عبر بوت تليغرام. ويُرجح أن المهاجم ذو أصول روسية.
وأكد بويتشينكو أن “هذه الحزمة تستغل المستخدمين دون علمهم لتنفيذ عمليات المسح وتجربة كلمات المرور، وتوجه النتائج الناجحة إلى بوت تليغرام يسيطر عليه المهاجم، مستغلة بروتوكول HTTPS لجعل حركة البيانات تبدو مثل طلبات ويب عادية يصعب رصدها.”
