HinataBot

S'ha vist que una botnet recentment descoberta basada en Golang, anomenada HinataBot, explota vulnerabilitats conegudes per trencar encaminadors i servidors i utilitzar-los per a atacs de denegació de servei distribuït (DDoS). El nom de l'amenaça es basa en un personatge de la popular sèrie d'anime Naruto amb moltes estructures de noms de fitxer que tenen el format "Hinata--". Els investigadors de ciberseguretat d'Akamai van publicar detalls sobre l'amenaça.

Es creu que els autors de HinataBot han estat actius des del desembre de 2022, almenys. Aleshores, estaven intentant utilitzar una variant comuna de Mirai basada en Go abans de canviar a les seves pròpies amenaces de programari maliciós personalitzades a partir de l'11 de gener de 2023. Es creu que HinataBot encara està en desenvolupament actiu.

Els ciberdelinqüents confien en les vulnerabilitats conegudes per violar els dispositius i desplegar HinataBot

El programari maliciós HinataBot es distribueix mitjançant diversos mètodes, inclosa l'explotació dels servidors Hadoop YARN exposats. Les vulnerabilitats en dispositius Realtek SDK (CVE-2014-8361) i encaminadors Huawei HG532 (CVE-2017-17215, puntuació CVSS: 8,8) també s'abusen dels actors de l'amenaça com una manera d'establir un punt de suport als sistemes objectiu.

Les vulnerabilitats sense pegats i les credencials febles han estat un objectiu fàcil per als atacants a causa dels seus requisits de baixa seguretat en comparació amb tàctiques més sofisticades com l'enginyeria social. Aquests punts d'entrada proporcionen una via d'atac ben documentada que es pot explotar fàcilment.

HinataBot pot ser capaç de llançar atacs DDoS devastadors de 3,3 Tbps

HinataBot és capaç d'establir contacte amb un servidor d'ordres i control (C2, C&C) com a forma de rebre instruccions dels actors de l'amenaça. Es pot indicar al programari maliciós que comenci atacs DDoS contra adreces IP orientades durant un període de temps escollit.

Les versions anteriors de HinataBot utilitzaven diversos protocols diferents, com ara HTTP, UDP, TCP i ICMP, per als atacs DDoS; tanmateix, aquesta darrera iteració de l'amenaça només n'ha conservat dos: els protocols HTTP i UDP. De moment es desconeix el motiu de la retirada dels altres protocols.

Els investigadors adverteixen que HinataBot es pot utilitzar per llançar atacs DDoS massius. Per exemple, amb 10.000 bots participant en un atac simultàniament, una inundació UDP podria generar un trànsit màxim de fins a 3,3 Tbps (Terabit per segon), mentre que una inundació HTTP produiria uns 27 Gbps de volum de trànsit.