HinataBot
Ένα botnet που ανακαλύφθηκε πρόσφατα με βάση το Golang, με το όνομα HinataBot, έχει δει ότι εκμεταλλεύεται γνωστά τρωτά σημεία προκειμένου να παραβιάσει τους δρομολογητές και τους διακομιστές και να τα χρησιμοποιήσει για κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS). Το όνομα της απειλής βασίζεται σε έναν χαρακτήρα από τη δημοφιλή σειρά anime Naruto με πολλές δομές ονομάτων αρχείων που έχουν τη μορφή 'Hinata-
Πιστεύεται ότι οι δράστες πίσω από το HinataBot ήταν ενεργοί από τον Δεκέμβριο του 2022, τουλάχιστον. Τότε, προσπαθούσαν να χρησιμοποιήσουν μια κοινή παραλλαγή Mirai που βασίζεται στο Go πριν μεταβούν στις δικές τους εξατομικευμένες απειλές κακόβουλου λογισμικού από τις 11 Ιανουαρίου 2023. Πιστεύεται ότι το HinataBot βρίσκεται ακόμα υπό ενεργό ανάπτυξη.
Οι εγκληματίες του κυβερνοχώρου βασίζονται σε γνωστά τρωτά σημεία για να παραβιάσουν συσκευές και να αναπτύξουν το HinataBot
Το κακόβουλο λογισμικό HinataBot διανέμεται μέσω πολλαπλών μεθόδων, συμπεριλαμβανομένης της εκμετάλλευσης εκτεθειμένων διακομιστών Hadoop YARN. Τα τρωτά σημεία σε συσκευές Realtek SDK (CVE-2014-8361) και δρομολογητές Huawei HG532 (CVE-2017-17215, βαθμολογία CVSS: 8,8) καταχρώνται επίσης από τους παράγοντες απειλών ως τρόπος να εδραιώσουν τα στοχευμένα συστήματα.
Οι μη επιδιορθωμένες ευπάθειες και τα αδύναμα διαπιστευτήρια έχουν αποτελέσει εύκολο στόχο για τους επιτιθέμενους λόγω των χαμηλών απαιτήσεων ασφαλείας τους σε σύγκριση με πιο εξελιγμένες τακτικές όπως η κοινωνική μηχανική. Αυτά τα σημεία εισόδου παρέχουν μια καλά τεκμηριωμένη λεωφόρο επίθεσης που μπορεί εύκολα να αξιοποιηθεί.
Το HinataBot μπορεί να είναι ικανό να εκτοξεύσει καταστροφικές επιθέσεις DDoS 3,3 Tbps
Το HinataBot είναι ικανό να δημιουργήσει επαφή με έναν διακομιστή Command-and-Control (C2, C&C) ως τρόπο λήψης οδηγιών από τους παράγοντες απειλών. Το κακόβουλο λογισμικό μπορεί να λάβει οδηγίες να εξαπολύσει επιθέσεις DDoS εναντίον στοχευμένων διευθύνσεων IP για μια επιλεγμένη χρονική περίοδο.
Οι προηγούμενες εκδόσεις του HinataBot χρησιμοποιούσαν πολλά διαφορετικά πρωτόκολλα, όπως HTTP, UDP, TCP και ICMP, για τις επιθέσεις DDoS. Ωστόσο, αυτή η τελευταία επανάληψη της απειλής έχει διατηρήσει μόνο δύο - τα πρωτόκολλα HTTP και UDP. Ο λόγος για την κατάργηση των άλλων πρωτοκόλλων παραμένει άγνωστος αυτή τη στιγμή.
Οι ερευνητές προειδοποιούν ότι το HinataBot μπορεί να χρησιμοποιηθεί για την έναρξη μαζικών επιθέσεων DDoS. Για παράδειγμα, έχοντας 10.000 bots που συμμετέχουν σε μια επίθεση ταυτόχρονα, μια πλημμύρα UDP θα μπορούσε να δημιουργήσει κυκλοφορία αιχμής έως και 3,3 Tbps (Terabit ανά δευτερόλεπτο), ενώ μια πλημμύρα HTTP θα παρήγαγε περίπου 27 Gbps σε όγκο κίνησης.
