HinataBot
Äskettäin löydetyn Golang-pohjaisen bottiverkon, nimeltään HinataBot, on havaittu hyödyntävän tunnettuja haavoittuvuuksia murtaakseen reitittimiä ja palvelimia ja käyttääkseen niitä hajautettuihin palvelunestolakoihin (DDoS). Uhan nimi perustuu hahmoon suositusta animesarjasta Naruto, jonka tiedostonimirakenteet ovat muotoa "Hinata-
Uskotaan, että HinataBotin takana olevat tekijät ovat olleet aktiivisia ainakin joulukuusta 2022 lähtien. Tuolloin he yrittivät hyödyntää yleistä Go-pohjaista Mirai-varianttia ennen siirtymistään omiin räätälöityihin haittaohjelmauhkiin 11. tammikuuta 2023 alkaen. HinataBotin uskotaan olevan edelleen aktiivisen kehityksen alla.
Kyberrikolliset luottavat tunnettuihin haavoittuvuuksiin rikkoakseen laitteita ja ottaakseen käyttöön HinataBotin
HinataBot-haittaohjelmaa levitetään useilla tavoilla, mukaan lukien paljastuneiden Hadoop YARN -palvelimien hyödyntäminen. Uhkatoimijat käyttävät väärin myös Realtek SDK -laitteiden (CVE-2014-8361) ja Huawei HG532 -reitittimien (CVE-2017-17215, CVSS-pistemäärä: 8,8) haavoittuvuuksia keinona saada jalansijaa kohdejärjestelmissä.
Korjaamattomat haavoittuvuudet ja heikot tunnistetiedot ovat olleet helppo kohde hyökkääjille, koska niiden turvallisuusvaatimukset ovat alhaiset verrattuna kehittyneempiin taktiikoihin, kuten sosiaaliseen manipulointiin. Nämä sisääntulokohdat tarjoavat hyvin dokumentoidun hyökkäysväylän, jota voidaan helposti hyödyntää.
HinataBot saattaa pystyä käynnistämään tuhoisia 3,3 Tbps DDoS-hyökkäyksiä
HinataBot pystyy muodostamaan yhteyden Command-and-Control (C2, C&C) -palvelimeen saadakseen ohjeita uhkatoimijoilta. Haittaohjelma voidaan ohjeistaa käynnistämään DDoS-hyökkäyksiä kohdennettuja IP-osoitteita vastaan valitun ajan.
HinataBotin aikaisemmat versiot käyttivät useita eri protokollia, kuten HTTP, UDP, TCP ja ICMP, DDoS-hyökkäyksiin; Tämä uhan uusin iteraatio on kuitenkin säilyttänyt vain kaksi - HTTP- ja UDP-protokollat. Syy muiden protokollien luopumiseen on toistaiseksi tuntematon.
Tutkijat varoittavat, että HinataBotia voidaan käyttää massiivisten DDoS-hyökkäysten käynnistämiseen. Esimerkiksi jos hyökkäykseen osallistuu samanaikaisesti 10 000 bottia, UDP-tulva voi tuottaa huippuliikenteen jopa 3,3 Tbps (Terabit/s), kun taas HTTP-tulva tuottaisi noin 27 Gbps liikennemäärää.
