HinataBot
Et nyligt opdaget Golang-baseret botnet, kaldet HinataBot, har vist sig at udnytte velkendte sårbarheder for at bryde routere og servere og bruge dem til distribueret denial-of-service (DDoS) strejker. Navnet på truslen er baseret på en karakter fra den populære anime-serie Naruto med mange filnavnestrukturer i formatet 'Hinata-
Det menes, at gerningsmændene bag HinataBot i hvert fald har været aktive siden december 2022. Dengang forsøgte de at bruge en fælles Go-baseret Mirai-variant, før de skiftede til deres egne skræddersyede malware-trusler fra den 11. januar 2023. Det menes, at HinataBot stadig er under aktiv udvikling.
Cyberkriminelle er afhængige af kendte sårbarheder for at bryde enheder og implementere HinataBot
HinataBot-malwaren distribueres gennem flere metoder, herunder udnyttelse af udsatte Hadoop YARN-servere. Sårbarheder i Realtek SDK-enheder (CVE-2014-8361) og Huawei HG532-routere (CVE-2017-17215, CVSS-score: 8,8) bliver også misbrugt af trusselsaktørerne som en måde at etablere fodfæste på de målrettede systemer.
Uoprettede sårbarheder og svage legitimationsoplysninger har været et let mål for angribere på grund af deres lave sikkerhedskrav sammenlignet med mere sofistikerede taktikker såsom social engineering. Disse indgangspunkter giver en veldokumenteret angrebsvej, som let kan udnyttes.
HinataBot er muligvis i stand til at lancere ødelæggende 3,3 Tbps DDoS-angreb
HinataBot er i stand til at etablere kontakt med en Command-and-Control-server (C2, C&C) som en måde at modtage instruktioner fra trusselsaktørerne. Malwaren kan instrueres til at starte DDoS-angreb mod målrettede IP-adresser i en valgt tidsperiode.
Tidligere versioner af HinataBot brugte flere forskellige protokoller, såsom HTTP, UDP, TCP og ICMP, til DDoS-angrebene; dog har denne seneste iteration af truslen kun beholdt to - HTTP- og UDP-protokollerne. Årsagen til at droppe de andre protokoller er stadig ukendt på nuværende tidspunkt.
Forskerne advarer om, at HinataBot kan bruges til at starte massive DDoS-angreb. For eksempel, hvis 10.000 bots deltager i et angreb samtidigt, kan en UDP-oversvømmelse generere spidstrafik på op til 3,3 Tbps (Terabit per sekund), mens en HTTP-oversvømmelse ville producere omkring 27 Gbps i trafikvolumen.
