HinataBot

Было замечено, что недавно обнаруженный ботнет на основе Golang, получивший название HinataBot, использует известные уязвимости для взлома маршрутизаторов и серверов и использования их для распределенных атак типа «отказ в обслуживании» (DDoS). Название угрозы основано на персонаже из популярного аниме-сериала «Наруто». Многие структуры имен файлов имеют формат «Хината-<ОС>-<Архитектура>». Подробности об угрозе были опубликованы исследователями кибербезопасности Akamai.

Считается, что преступники, стоящие за HinataBot, действуют как минимум с декабря 2022 года. В то время они пытались использовать обычный вариант Mirai на основе Go, прежде чем с 11 января 2023 года переключиться на свои собственные вредоносные программы, созданные по индивидуальному заказу. Считается, что HinataBot все еще находится в активной разработке.

Киберпреступники полагаются на известные уязвимости для взлома устройств и развертывания HinataBot

Вредоносная программа HinataBot распространяется несколькими способами, включая использование открытых серверов Hadoop YARN. Злоумышленники также злоупотребляют уязвимостями в устройствах Realtek SDK (CVE-2014-8361) и маршрутизаторах Huawei HG532 (CVE-2017-17215, оценка CVSS: 8,8), чтобы закрепиться в целевых системах.

Неисправленные уязвимости и слабые учетные данные были легкой мишенью для злоумышленников из-за их низких требований к безопасности по сравнению с более изощренными тактиками, такими как социальная инженерия. Эти точки входа обеспечивают хорошо задокументированный способ атаки, который можно легко использовать.

HinataBot может запускать разрушительные DDoS-атаки со скоростью 3,3 Тбит/с

HinataBot может устанавливать связь с сервером управления и контроля (C2, C&C) для получения инструкций от злоумышленников. Вредоносной программе можно дать указание запускать DDoS-атаки на целевые IP-адреса в течение выбранного периода времени.

Предыдущие версии HinataBot использовали несколько различных протоколов, таких как HTTP, UDP, TCP и ICMP, для DDoS-атак; однако эта последняя итерация угрозы сохранила только два — протоколы HTTP и UDP. Причина отказа от других протоколов в настоящее время остается неизвестной.

Исследователи предупреждают, что HinataBot может использоваться для проведения массированных DDoS-атак. Например, если в атаке одновременно участвуют 10 000 ботов, UDP-флуд может генерировать пиковый трафик до 3,3 Тбит/с (терабит в секунду), а HTTP-флуд — около 27 Гбит/с.