Обнаружен новый ботнет HinataBot , нацеленный на Realtek SDK, маршрутизаторы Huawei и серверы Hadoop YARN, ориентированный на проведение масштабных DDoS-атак. Эксперты Akamai считают, что вредонос основан на коде Mirai и представляет собой версию этой малвари на основе Go.

Приманки Akamai (HTTP и SSH) обнаружили HinataBot в январе 2023 года, когда вредонос использовал старые уязвимости CVE-2014-8361 и CVE-2017-17215. Эксперты отмечают, что сначала операторы HinataBot распространяли бинарники Mirai, и лишь после этого появился именно HinataBot.

Собрав несколько образцов малвари из активных кампаний в марте 2023 года, исследователи пришли к выводу, что вредоносное ПО еще находится в разработке, и недавно получило ряд функциональных улучшений и дополненную защиту от анализа.

В основном HinataBot распространяется через брутфорс SSH или через использование скриптов и эксплуатацию известных уязвимостей. После заражения устройства малварь будет работать на скомпрометированной машине, ожидая получения команд от управляющего сервера.

Аналитики Akamai создали собственный C&C-сервер, чтобы инсценировать DDoS-атаку с помощью HinataBot  и понаблюдать за вредоносным ПО в действии, сделав выводы о его атакующих возможностях. Сообщается, что более старые версии HinataBot поддерживали флуд посредством HTTP, UDP, ICMP и TCP, но в новых версиях активны только первые два варианта. При этом аналитики предупреждают, что даже с двумя режимами атаки ботнет потенциально способен на многое.

Хотя атакующие команды для HTTP и UDP различаются, они обе создают рабочий пул из 512 воркеров (процессов), которые отправляют жестко закодированные пакеты жертвам в течение определенного периода времени. Размер HTTP-пакета варьируется от 484 до 589 байт. Пакеты UDP, сгенерированные HinataBot, особенно велики (65 549 байт) и состоят из нулевых байтов, способных перегрузить цель большим объемом трафика.

В итоге HTTP-флуд генерирует большие объемы запросов к целевым сайтам, а UDP-флуд отправляет цели большие объемы мусорного трафика.

Akamai протестировала ботнет в 10-секундных атаках, и вредоносное ПО сгенерировало 20 430 запросов общим размером 3,4 МБ при HTTP-атаке, а UDP-флуд сгенерировал 6733 пакета общим объемом 421 МБ.

Таким образом, исследователи подсчитали, что, задействовав 1000 нодов, UDP-флуд может генерировать атаки мощностью примерно 336 Гбит/с, а если нодов будет 10 000, то мощность атаки достигнет 3,3 Тбит/с.

В случае HTTP-флуда 1000 захваченных устройств будут генерировать 2 000 000 запросов в секунду, а 10 000 нодов — 20 400 000 запросов в секунду, то есть атаку мощностью 27 Гбит/с.

«Теоретические возможности ботнета, очевидно, не учитывают различные типы серверов, которые будут задействованы [в атаках], их пропускную способность и аппаратные возможности, но общее представление о HinataBot составить можно, — пишут исследователи. — Будем надеяться, что авторы HinataBot переключатся на другие хобби, прежде чем нам придется иметь дело с их ботнетом в реальном масштабе».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии