HinataBot

Una botnet basata su Golang recentemente scoperta, soprannominata HinataBot, è stata vista sfruttare vulnerabilità ben note per violare router e server e utilizzarli per attacchi DDoS (Distributed Denial-of-Service). Il nome della minaccia è basato su un personaggio della popolare serie anime Naruto con molte strutture di nomi di file aventi il formato 'Hinata--.' I dettagli sulla minaccia sono stati rilasciati dai ricercatori di sicurezza informatica di Akamai.

Si ritiene che gli autori dietro HinataBot siano attivi almeno dal dicembre 2022. Allora, stavano cercando di utilizzare una comune variante Mirai basata su Go prima di passare alle proprie minacce malware personalizzate a partire dall'11 gennaio 2023. Si ritiene che HinataBot sia ancora in fase di sviluppo attivo.

I criminali informatici si affidano a vulnerabilità note per violare i dispositivi e implementare HinataBot

Il malware HinataBot viene distribuito attraverso diversi metodi, incluso lo sfruttamento dei server Hadoop YARN esposti. Anche le vulnerabilità nei dispositivi Realtek SDK (CVE-2014-8361) e nei router Huawei HG532 (CVE-2017-17215, punteggio CVSS: 8.8) vengono sfruttate dagli attori delle minacce come un modo per stabilire un punto d'appoggio sui sistemi presi di mira.

Vulnerabilità prive di patch e credenziali deboli sono state un facile bersaglio per gli aggressori a causa dei loro bassi requisiti di sicurezza rispetto a tattiche più sofisticate come l'ingegneria sociale. Questi punti di ingresso forniscono una via di attacco ben documentata che può essere facilmente sfruttata.

HinataBot potrebbe essere in grado di lanciare devastanti attacchi DDoS da 3,3 Tbps

L'HinataBot è in grado di stabilire un contatto con un server Command-and-Control (C2, C&C) per ricevere istruzioni dagli autori delle minacce. Il malware può essere incaricato di lanciare attacchi DDoS contro indirizzi IP mirati per un determinato periodo di tempo.

Le versioni precedenti di HinataBot utilizzavano diversi protocolli, come HTTP, UDP, TCP e ICMP, per gli attacchi DDoS; tuttavia, quest'ultima iterazione della minaccia ne ha conservati solo due: i protocolli HTTP e UDP. Il motivo per l'abbandono degli altri protocolli rimane sconosciuto in questo momento.

I ricercatori avvertono che HinataBot può essere utilizzato per lanciare massicci attacchi DDoS. Ad esempio, con 10.000 bot che partecipano simultaneamente a un attacco, un UDP flood potrebbe generare picchi di traffico fino a 3,3 Tbps (Terabit al secondo), mentre un HTTP flood produrrebbe circa 27 Gbps di volume di traffico.