HinataBot

Ukázalo sa, že novoobjavený botnet založený na Golangu, nazvaný HinataBot, využíva dobre známe zraniteľné miesta s cieľom prelomiť smerovače a servery a použiť ich na útoky distribuovaného odmietnutia služby (DDoS). Názov hrozby je založený na postave z populárnej anime série Naruto s mnohými štruktúrami názvov súborov vo formáte 'Hinata--.' Podrobnosti o hrozbe zverejnili výskumníci kybernetickej bezpečnosti z Akamai.

Predpokladá sa, že páchatelia stojaci za HinataBotom sú aktívni prinajmenšom od decembra 2022. Vtedy sa pokúšali využiť bežný variant Mirai založený na Go predtým, ako prešli na svoje vlastné na mieru vyrobené malware hrozby od 11. januára 2023. Predpokladá sa, že HinataBot je stále v aktívnom vývoji.

Kyberzločinci sa spoliehajú na známe zraniteľnosti pri porušovaní zariadení a nasadení HinataBot

Malvér HinataBot sa distribuuje viacerými metódami vrátane zneužívania odhalených serverov Hadoop YARN. Zraniteľnosť v zariadeniach Realtek SDK (CVE-2014-8361) a smerovačoch Huawei HG532 (CVE-2017-17215, skóre CVSS: 8,8) sú tiež zneužívané aktérmi hrozieb ako spôsob, ako vytvoriť oporu v cieľových systémoch.

Neopravené zraniteľnosti a slabé prihlasovacie údaje boli pre útočníkov ľahkým cieľom kvôli ich nízkym požiadavkám na zabezpečenie v porovnaní so sofistikovanejšími taktikami, ako je sociálne inžinierstvo. Tieto vstupné body poskytujú dobre zdokumentovanú cestu útoku, ktorú možno ľahko zneužiť.

HinataBot môže byť schopný spustiť zničujúce 3,3 Tbps DDoS útoky

HinataBot je schopný nadviazať kontakt so serverom Command-and-Control (C2, C&C) ako spôsob prijímania pokynov od aktérov hrozby. Malvér môže dostať pokyn, aby spustil DDoS útoky proti cieleným IP adresám počas zvoleného časového obdobia.

Predchádzajúce verzie HinataBot používali na útoky DDoS niekoľko rôznych protokolov, ako napríklad HTTP, UDP, TCP a ICMP; táto najnovšia iterácia hrozby si však zachovala iba dva – protokoly HTTP a UDP. Dôvod zrušenia ostatných protokolov zostáva v súčasnosti neznámy.

Výskumníci varujú, že HinataBot môže byť použitý na spustenie masívnych DDoS útokov. Napríklad, ak sa na útoku súčasne zúčastňuje 10 000 robotov, záplava UDP by mohla generovať špičkovú návštevnosť až 3,3 Tbps (Terabit za sekundu), zatiaľ čo záplava HTTP by vyprodukovala objem prevádzky približne 27 Gbps.