HinataBot

Nowo odkryty botnet oparty na Golang, nazwany HinataBot, wykorzystywał dobrze znane luki w celu włamania do routerów i serwerów oraz wykorzystania ich do rozproszonych ataków typu „odmowa usługi” (DDoS). Nazwa zagrożenia jest oparta na postaci z popularnego serialu anime Naruto z wieloma strukturami nazw plików o formacie „Hinata--”. Szczegóły dotyczące zagrożenia zostały ujawnione przez badaczy cyberbezpieczeństwa w Akamai.

Uważa się, że sprawcy stojący za HinataBotem działają co najmniej od grudnia 2022 roku. W tamtym czasie próbowali wykorzystać powszechny wariant Mirai oparty na Go, zanim przestawili się na własne, niestandardowe zagrożenia złośliwym oprogramowaniem, począwszy od 11 stycznia 2023 r. Uważa się, że HinataBot jest nadal aktywnie rozwijany.

Cyberprzestępcy polegają na znanych lukach w zabezpieczeniach, aby włamać się do urządzeń i wdrożyć HinataBota

Szkodliwe oprogramowanie HinataBot jest dystrybuowane za pomocą wielu metod, w tym poprzez wykorzystywanie odsłoniętych serwerów Hadoop YARN. Luki w zabezpieczeniach urządzeń Realtek SDK (CVE-2014-8361) i routerów Huawei HG532 (CVE-2017-17215, wynik CVSS: 8,8) są również wykorzystywane przez cyberprzestępców w celu zdobycia przyczółka w atakowanych systemach.

Niezałatane luki w zabezpieczeniach i słabe dane uwierzytelniające były łatwym celem dla atakujących ze względu na ich niskie wymagania w zakresie bezpieczeństwa w porównaniu z bardziej wyrafinowanymi taktykami, takimi jak socjotechnika. Te punkty wejścia zapewniają dobrze udokumentowaną drogę ataku, którą można łatwo wykorzystać.

HinataBot może przeprowadzać niszczycielskie ataki DDoS o przepustowości 3,3 Tb/s

HinataBot jest w stanie nawiązać kontakt z serwerem Command-and-Control (C2, C&C) w celu otrzymywania instrukcji od cyberprzestępców. Złośliwe oprogramowanie może zostać poinstruowane, aby przeprowadzało ataki DDoS na docelowe adresy IP przez wybrany okres czasu.

Poprzednie wersje HinataBot wykorzystywały do ataków DDoS kilka różnych protokołów, takich jak HTTP, UDP, TCP i ICMP; jednak ta najnowsza iteracja zagrożenia zachowała tylko dwa protokoły – HTTP i UDP. Przyczyna rezygnacji z innych protokołów pozostaje obecnie nieznana.

Naukowcy ostrzegają, że HinataBot może zostać wykorzystany do przeprowadzania masowych ataków DDoS. Na przykład, mając jednocześnie 10 000 botów uczestniczących w ataku, powódź UDP może generować szczytowy ruch do 3,3 Tbps (terabitów na sekundę), podczas gdy powódź HTTP generowałaby około 27 Gbps wolumenu ruchu.