HinataBot

Nově objevený botnet založený na Golangu, nazvaný HinataBot, využívá známé zranitelnosti k prolomení směrovačů a serverů a používá je k útokům typu DDoS (Distributed Denial-of-service). Název hrozby je založen na postavě z populární anime série Naruto s mnoha strukturami názvů souborů ve formátu 'Hinata--.' Podrobnosti o hrozbě zveřejnili výzkumníci kybernetické bezpečnosti z Akamai.

Předpokládá se, že pachatelé za HinataBotem jsou aktivní minimálně od prosince 2022. Tehdy se pokoušeli využít běžnou variantu Mirai založenou na Go, než přešli na své vlastní malwarové hrozby od 11. ledna 2023. Předpokládá se, že HinataBot je stále ve vývoji.

Kyberzločinci se při narušení zařízení a nasazení HinataBota spoléhají na známé zranitelnosti

Malware HinataBot je distribuován několika způsoby, včetně zneužívání exponovaných serverů Hadoop YARN. Zranitelnosti v zařízeních Realtek SDK (CVE-2014-8361) a routerech Huawei HG532 (CVE-2017-17215, CVSS skóre: 8,8) jsou také zneužívány aktéry hrozeb jako způsob, jak se uchytit v cílových systémech.

Neopravené zranitelnosti a slabé přihlašovací údaje byly pro útočníky snadným cílem kvůli jejich nízkým nárokům na zabezpečení ve srovnání se sofistikovanějšími taktikami, jako je sociální inženýrství. Tyto vstupní body poskytují dobře zdokumentovaný způsob útoku, který lze snadno zneužít.

HinataBot může být schopen zahájit zničující 3,3 Tbps DDoS útoky

HinataBot je schopen navázat kontakt se serverem Command-and-Control (C2, C&C) jako způsob, jak přijímat pokyny od aktérů hrozby. Malware může být instruován, aby spustil DDoS útoky proti cíleným IP adresám po zvolenou dobu.

Předchozí verze HinataBotu používaly pro útoky DDoS několik různých protokolů, jako je HTTP, UDP, TCP a ICMP; tato nejnovější iterace hrozby si však zachovala pouze dva – protokoly HTTP a UDP. Důvod zrušení ostatních protokolů zůstává v tuto chvíli neznámý.

Výzkumníci varují, že HinataBot lze využít ke spuštění masivních DDoS útoků. Například při současném útoku 10 000 robotů by záplava UDP mohla vygenerovat špičkový provoz až 3,3 Tbps (Terabit za sekundu), zatímco záplava HTTP by vyprodukovala objem provozu kolem 27 Gbps.