HinataBot

O rețea botnet bazată pe Golang recent descoperită, numită HinataBot, a fost văzută că exploatează vulnerabilități binecunoscute pentru a încălca routerele și serverele și le folosește pentru atacuri de refuz de serviciu distribuit (DDoS). Numele amenințării se bazează pe un personaj din populara serie anime Naruto, cu multe structuri de nume de fișiere având formatul „Hinata--”. Detalii despre amenințare au fost publicate de cercetătorii de securitate cibernetică de la Akamai.

Se crede că autorii din spatele lui HinataBot sunt activi din decembrie 2022, cel puțin. Pe atunci, ei încercau să utilizeze o variantă comună Mirai bazată pe Go înainte de a trece la propriile amenințări malware personalizate începând cu 11 ianuarie 2023. Se crede că HinataBot este încă în dezvoltare activă.

Criminalii cibernetici se bazează pe vulnerabilități cunoscute pentru a încălca dispozitivele și pentru a implementa HinataBot

Malware-ul HinataBot este distribuit prin mai multe metode, inclusiv prin exploatarea serverelor Hadoop YARN expuse. Vulnerabilitățile din dispozitivele Realtek SDK (CVE-2014-8361) și routerele Huawei HG532 (CVE-2017-17215, scor CVSS: 8,8) sunt, de asemenea, abuzate de actorii amenințărilor ca o modalitate de a stabili un punct de sprijin pe sistemele vizate.

Vulnerabilitățile nepatificate și acreditările slabe au fost o țintă ușoară pentru atacatori din cauza cerințelor lor de securitate scăzută în comparație cu tactici mai sofisticate, cum ar fi ingineria socială. Aceste puncte de intrare oferă o cale de atac bine documentată care poate fi exploatată cu ușurință.

HinataBot poate fi capabil să lanseze atacuri DDoS devastatoare de 3,3 Tbps

HinataBot este capabil să stabilească contact cu un server de comandă și control (C2, C&C) ca o modalitate de a primi instrucțiuni de la actorii amenințărilor. Malware-ul poate fi instruit să lanseze atacuri DDoS împotriva adreselor IP vizate pentru o perioadă de timp aleasă.

Versiunile anterioare de HinataBot au folosit mai multe protocoale diferite, cum ar fi HTTP, UDP, TCP și ICMP, pentru atacurile DDoS; totuși, această ultimă iterație a amenințării a păstrat doar două - protocoalele HTTP și UDP. Motivul renunțării la celelalte protocoale rămâne necunoscut în acest moment.

Cercetătorii avertizează că HinataBot poate fi utilizat pentru a lansa atacuri DDoS masive. De exemplu, având 10.000 de roboți care participă la un atac simultan, un flood UDP ar putea genera un trafic de vârf de până la 3,3 Tbps (Terabit pe secundă), în timp ce un flood HTTP ar produce un volum de trafic de aproximativ 27 Gbps.