Si chiama HinataBot la nuova botnet che, sfruttando vecchie vulnerabilità in router e server non aggiornati, sferra attacchi DDoS potenzialmente molto massicci.
La scoperta del nuovo malware è stata fatta dal Security Intelligence Response Team (SIRT) di Akamai che ha notato le attività del bot all’interno dei propri honeypot HTTP e SSH mentre abusava di vecchie vulnerabilità e credenziali deboli.
In particolare, i tentativi di infezione osservati avrebbero incluso lo sfruttamento del servizio SOAP miniigd su dispositivi Realtek SDK (CVE-2014-8361), dell’esecuzione arbitraria di codice remoto su router Huawei HG532 (CVE-2017-17215) e di server Hadoop YARN esposti (CVE N/A).
Indice degli argomenti
Attacchi DDoS da 3,3 Tbps: la capacità offensiva di HinataBot
Il rapporto spiega come, mediante il reverse engineering del bot e simulando un server di comando e controllo C2, sia stato possibile testare le capacità offensive della botnet eseguendo le due funzioni di attacco scoperte nelle più recenti varianti di HinataBot (udp_flood e http_flood) in un periodo di 10 secondi.
Funzioni di attacco scoperte (fonte: Akamai).
I test avrebbero consentito di stimare il dimensionamento dell’attacco, rivelando per l’http flood una generazione di 3,4 MB di dati di acquisizione di pacchetti e l’invio di 20.430 richieste http, per l’UDP flood, la creazione di 6.733 pacchetti per un totale di 421 MB di dati di acquisizione dei pacchetti.
Ciò dimostrerebbe come in un ipotetico attacco reale con 10.000 nodi bot (appena il 6,9% delle dimensioni della ben nota botnet Mirai) un flusso UDP raggiungerebbe una potenza di fuoco volumetrica di oltre 3,3 terabit al secondo (Tbps). Più modesta invece la potenza generata da un http flood di circa 27 gigabit al secondo (Gbps).
I bot emergenti scritti in Golang
HinataBot è solo l’ultimo bot in ordine di tempo ad entrare a far parte della sempre crescente lista di bot emergenti basati su Go dopo GoBruteforcer e KmsdBot e uno dei numerosi tentativi pubblici di implementare Mirai in linguaggio Golang.
“La famiglia HinataBot fa affidamento su vecchie vulnerabilità e forza bruta su password deboli per la distribuzione. Questo è l’ennesimo esempio del perché password complesse e politiche di patching sono più importanti che mai”, conclude Akamai.
Non abbassare la guardia
Gli esperti riferiscono inoltre che gli attori dietro HinataBot che originariamente avevano tentato di distribuire una variante Mirai generica (dotata di un pacchetto UPX), dall’inizio del 2023 stanno diffondendo il nuovo bot aggiornandolo attivamente con nuovi exploit e ampliando il suo ambito di azione.
Pertanto, la probabilità di trovare, in qualsiasi momento, ulteriori varianti ancora più potenti non è per niente trascurabile.
Controllo password in fase di esecuzione (fonte: Akamai).
Viste le potenzialità e l’allusione degli autori del malware (con una parola d’ordine “HINATA_START_NICE” interna al binario) al personaggio manga Hinata Hyuga che da pacifica e gentile diventa una feroce combattente, l’attenzione deve restare alta.
Nella appendice del rapporto tecnico, Akamai ha condiviso gli IoC e le regole YARA per questa minaccia.