HinataBot

Ett nyupptäckt Golang-baserat botnät, kallat HinataBot, har setts utnyttja välkända sårbarheter för att bryta mot routrar och servrar och använda dem för DDoS-strejker (distributed denial-of-service). Namnet på hotet är baserat på en karaktär från den populära anime-serien Naruto med många filnamnsstrukturer som har formatet "Hinata--." Detaljer om hotet släpptes av cybersäkerhetsforskarna vid Akamai.

Man tror att gärningsmännen bakom HinataBot har varit aktiva sedan december 2022, åtminstone. Då försökte de använda en vanlig Go-baserad Mirai-variant innan de bytte till sina egna skräddarsydda skadliga hot från och med den 11 januari 2023. Man tror att HinataBot fortfarande är under aktiv utveckling.

Cyberkriminella litar på kända sårbarheter för att bryta mot enheter och distribuera HinataBot

Skadlig programvara HinataBot distribueras genom flera metoder, inklusive utnyttjande av exponerade Hadoop YARN-servrar. Sårbarheter i Realtek SDK-enheter (CVE-2014-8361) och Huawei HG532-routrar (CVE-2017-17215, CVSS-poäng: 8,8) missbrukas också av hotaktörerna som ett sätt att etablera fotfäste på de riktade systemen.

Olappade sårbarheter och svaga referenser har varit ett enkelt mål för angripare på grund av deras låga säkerhetskrav jämfört med mer sofistikerade taktiker som social ingenjörskonst. Dessa ingångspunkter ger en väldokumenterad attackväg som lätt kan utnyttjas.

HinataBot kan vara kapabel att lansera förödande 3,3 Tbps DDoS-attacker

HinataBot kan etablera kontakt med en Command-and-Control-server (C2, C&C) som ett sätt att ta emot instruktioner från hotaktörerna. Skadlig programvara kan instrueras att starta DDoS-attacker mot riktade IP-adresser under en vald tidsperiod.

Tidigare versioner av HinataBot använde flera olika protokoll, såsom HTTP, UDP, TCP och ICMP, för DDoS-attackerna; denna senaste iteration av hotet har dock bara behållit två - HTTP- och UDP-protokollen. Anledningen till att de andra protokollen avbröts är fortfarande okänd i nuläget.

Forskarna varnar för att HinataBot kan användas för att starta massiva DDoS-attacker. Till exempel, med 10 000 bots som deltar i en attack samtidigt, kan en UDP-flod generera topptrafik på upp till 3,3 Tbps (Terabit per sekund), medan en HTTP-översvämning skulle producera cirka 27 Gbps i trafikvolym.