Os analistas de segurança da Akamai identificaram recentemente um novo botnet chamado HinataBot, baseado em Golang. Além disso, HinataBot foi observado explorando falhas de segurança já conhecidas em roteadores e servidores para obter acesso não autorizado para lançar ataques DDoS.
No início do ano, os pesquisadores descobriram esta nova botnet que já estava em operação há algum tempo. Embora tenha sido descoberto que o HinataBot tem como alvo os seguintes roteadores e servidores: –
- Dispositivos Realtek SDK
- Roteadores Huawei HG532
- Servidores Hadoop YARN
Explorando falhas conhecidas
Nos binários de malware, um personagem da popular série de anime Naruto parece ter recebido um nome do autor do malware.
SIRT da Akamai encontrado HinataBot em honeypots HTTP e SSH explorando as antigas vulnerabilidades conhecidas, e aqui abaixo as mencionamos: –
- CVE-2014-8361
- CVE-2017-17215
Distribuição
Já em meados de janeiro de 2023, os binários Mirai foram distribuídos pelos operadores do HinataBot, que foi a primeira vez que apareceu.
O botnet HinataBot passou por um desenvolvimento ativo com a adição de várias melhorias e novos recursos recentemente, em março de 2023. Embora os pesquisadores de segurança cibernética tenham confirmado isso na Akamai durante a análise de campanhas ativas, eles capturaram várias amostras do botnet.
Vários ataques ocorreram devido a vulnerabilidades não corrigidas e credenciais fracas, representando um ponto de entrada fácil para os atores da ameaça sem usar táticas sofisticadas.
Desde dezembro de 2022, o botnet HinataBot está ativo. A partir de 11 de janeiro de 2023, eles começaram a usar seu próprio malware personalizado para conduzir os ataques, após o uso de uma variante genérica do Mirai baseada em Go como ataque inicial.
Os especialistas ainda não observaram um ataque na vida real, uma vez que o C2 está inativo. Os rastreadores ainda não estão conectados. No entanto, o processo para o fazer está actualmente em curso.
O objetivo principal dos pesquisadores é poder observar de perto se eles se tornarão ativos novamente no futuro.
Capacidade massiva de DDoS
Uma série de funções particularmente notáveis vieram à tona durante a análise. Três funções distintas de ataque chamaram imediatamente sua atenção, e aqui são mencionadas abaixo: –
- sym.main.startAttack
- sym.main.http_flood
- sym.main.udp_flood
Scripts de infecção e cargas RCE para vulnerabilidades conhecidas são usados para distribuir malware por meio de ataques de força bruta em terminais SSH.
Depois que um dispositivo é infectado, o malware é executado silenciosamente, aguardando a execução das instruções do servidor de comando e controle.
Para observar o HinataBot em ação e inferir as capacidades de ataque do malware, os analistas da Akamai projetaram seu próprio C2 e interagiram com infecções simuladas.
Abaixo, mencionamos as inundações que são suportadas por versões mais antigas do HinataBot: –
Enquanto no caso da nova versão do HinataBot, apenas inundações HTTP e UDP são suportadas. Porém, a botnet pode realizar ataques DDoS muito poderosos, mesmo com apenas dois modos de ataque.
Considerando que pode haver 10.000 bots em um ataque, uma inundação UDP pode atingir o pico 3.3 Tbps, tornando-o um ataque poderoso. Há uma diferença entre o comando de ataque HTTP e o comando de ataque UDP.
Em ambos os casos, 512 trabalhadores são criados para um conjunto de trabalhadores e recebem uma duração fixa por um período definido para enviar pacotes de dados a todos os destinos predefinidos.
Há uma faixa de 484 a 589 bytes no tamanho de um pacote HTTP. Muitos bytes nulos estão incluídos nos pacotes UDP gerados pelo HinataBot, o que pode sobrecarregar o alvo com uma quantidade significativa de tráfego.
Os dois métodos utilizam abordagens diferentes para alcançar o mesmo resultado; As inundações HTTP geram tráfego pesado para o site, enquanto as inundações UDP enviam lixo para o alvo.
Gerou 20.430 solicitações para um total de 30,4 MB para o ataque HTTP; A Akamai comparou o botnet em ataques de 10 segundos para HTTP e UDP. A inundação UDP gerou 421 MB de dados, sobre 6.733 pacotes.
Ainda há espaço para melhorias no HinataBot Botnet, e é provável que ele implemente explorações adicionais e expanda suas capacidades de direcionamento a qualquer momento.
