Uma nova botnet, apelidada de HinataBot, foi descoberta tendo como alvo kits de desenvolvimento de software (SDKs) da Realtek, roteadores Huawei e servidores Hadoop YARN para recrutar dispositivos com o propósito de realizar ataques distribuídos de negação de serviço (DDoS).
A botnet foi descoberta por pesquisadores da Akamai no início de janeiro, que a detectaram em seus honeypots HTTP e SSH explorando falhas antigas como o CVE-2014-8361 e CVE-2017-17215. Segundo a empresa, ela pode lançar ataques DDoS massivos de até 3.3 terabytes por segundo (Tbps).
A Akamai disse que os operadores da HinataBot inicialmente distribuíram binários que parecem ser baseado no Mirai e utilizam também uma variante baseada em Go da cepa.
Depois de capturar várias amostras de campanhas ativas até março, os pesquisadores deduziram que o malware está em desenvolvimento ativo, apresentando melhorias funcionais e adições antianálise.
O malware é distribuído por endpoints SSH de força bruta ou usando scripts de infecção e cargas de execução remota de código (RCE) para vulnerabilidades conhecidas. Depois de infectar os dispositivos, o malware é executado silenciosamente, aguardando a execução dos comandos do servidor de comando e controle.
Os analistas da Akamai criaram um serevidor de comando e controle (C&C) próprio e interagiram com infecções simuladas para preparar a HinataBot para ataques DDoS e observar o malware em ação e inferir suas capacidades de ataque.
As versões mais antigas do HinataBot suportavam inundações HTTP, UDP, ICMP e TCP, mas as variantes mais recentes apresentam apenas as duas primeiras. No entanto, mesmo com apenas dois modos de ataque, a botnet pode realizar ataques distribuídos de negação de serviço muito poderosos.
Embora os comandos de ataque HTTP e UDP sejam diferentes, ambos criam um pool de trabalho de 512 processos que enviam pacotes de dados codificados para os alvos por um período definido. O tamanho do pacote HTTP varia entre 484 e 589 bytes. Os pacotes UDP gerados pelo HinataBot são particularmente grandes (65.549 bytes) e consistem em bytes nulos capazes de sobrecarregar o alvo com um grande volume de tráfego.
Veja isso
Nova variante da botnet Mirai infecta dispositivos Linux
Botnet Medusa retorna como variante baseada no Mirai DDoS
As inundações de HTTP geram grandes volumes de solicitações de sites, enquanto as inundações de UDP enviam grandes volumes de tráfego de lixo para o destino. Portanto, os dois métodos tentam obter uma interrupção usando uma abordagem diferente.
A HinataBot ainda está em desenvolvimento e pode implementar mais explorações e ampliar seu escopo de segmentação a qualquer momento. Além disso, o fato de seu desenvolvimento ser tão ativo aumenta a probabilidade de ver versões mais potentes circulando na natureza em breve. Com agências de notícias internacionais.