HinataBot

Egy újonnan felfedezett Golang-alapú botnet, a HinataBot, jól ismert sebezhetőségeket használ ki, hogy feltörje az útválasztókat és a szervereket, és elosztott szolgáltatásmegtagadási (DDoS) támadásokhoz használja őket. A fenyegetés neve a Naruto népszerű animesorozat egy karakterén alapul, számos fájlnév-struktúrával, amelyek formátuma „Hinata--”. A fenyegetés részleteit az Akamai kiberbiztonsági kutatói közölték.

Úgy gondolják, hogy a HinataBot mögött álló elkövetők legalább 2022 decembere óta aktívak. Akkoriban egy gyakori, Go-alapú Mirai-változatot próbáltak kihasználni, mielőtt 2023. január 11-től áttértek volna a saját készítésű kártevőfenyegetéseikre. Úgy gondolják, hogy a HinataBot még mindig aktív fejlesztés alatt áll.

A kiberbűnözők az ismert sebezhetőségekre hagyatkoznak az eszközök feltörése és a HinataBot telepítése során

A HinataBot rosszindulatú programot többféle módon terjesztik, beleértve a kiszolgáltatott Hadoop YARN szerverek kihasználását. A Realtek SDK-eszközök (CVE-2014-8361) és a Huawei HG532 útválasztók (CVE-2017-17215, CVSS-pontszám: 8,8) biztonsági réseit a fenyegetés szereplői is visszaélnek, hogy megvegyék a lábukat a megcélzott rendszereken.

A javítatlan sérülékenységek és a gyenge hitelesítő adatok könnyű célpontot jelentenek a támadók számára, mivel alacsony biztonsági követelményeik vannak a kifinomultabb taktikákhoz, például a social engineeringhez képest. Ezek a belépési pontok jól dokumentált támadási utat biztosítanak, amely könnyen kihasználható.

A HinataBot képes lehet pusztító 3,3 Tbps sebességű DDoS támadások indítására

A HinataBot képes kapcsolatot létesíteni egy Command-and-Control (C2, C&C) szerverrel, hogy utasításokat kapjon a fenyegetés szereplőitől. A rosszindulatú program utasítható arra, hogy meghatározott ideig indítson DDoS-támadásokat célzott IP-címek ellen.

A HinataBot korábbi verziói több különböző protokollt, például HTTP-t, UDP-t, TCP-t és ICMP-t használtak a DDoS-támadásokhoz; a fenyegetés legújabb iterációja azonban csak kettőt - a HTTP és az UDP protokollt - tartott meg. A többi protokoll elvetésének oka egyelőre ismeretlen.

A kutatók arra figyelmeztetnek, hogy a HinataBot felhasználható hatalmas DDoS támadások indítására. Például, ha egy támadásban egyidejűleg 10 000 bot vesz részt, az UDP-áradás akár 3,3 Tbps (Terabit/s) csúcsforgalmat is generálhat, míg egy HTTP-áradás körülbelül 27 Gbps-os forgalmat generálhat.