Обнаружен новый ботнет HinataBot , нацеленный на Realtek SDK, маршрутизаторы Huawei и серверы Hadoop YARN, ориентированный на проведение масштабных DDoS-атак. Эксперты Akamai считают, что вредонос основан на коде Mirai и представляет собой версию этой малвари на основе Go.
Приманки Akamai (HTTP и SSH) обнаружили HinataBot в январе 2023 года, когда вредонос использовал старые уязвимости CVE-2014-8361 и CVE-2017-17215. Эксперты отмечают, что сначала операторы HinataBot распространяли бинарники Mirai, и лишь после этого появился именно HinataBot.
Собрав несколько образцов малвари из активных кампаний в марте 2023 года, исследователи пришли к выводу, что вредоносное ПО еще находится в разработке, и недавно получило ряд функциональных улучшений и дополненную защиту от анализа.
В основном HinataBot распространяется через брутфорс SSH или через использование скриптов и эксплуатацию известных уязвимостей. После заражения устройства малварь будет работать на скомпрометированной машине, ожидая получения команд от управляющего сервера.
Аналитики Akamai создали собственный C&C-сервер, чтобы инсценировать DDoS-атаку с помощью HinataBot и понаблюдать за вредоносным ПО в действии, сделав выводы о его атакующих возможностях. Сообщается, что более старые версии HinataBot поддерживали флуд посредством HTTP, UDP, ICMP и TCP, но в новых версиях активны только первые два варианта. При этом аналитики предупреждают, что даже с двумя режимами атаки ботнет потенциально способен на многое.
Хотя атакующие команды для HTTP и UDP различаются, они обе создают рабочий пул из 512 воркеров (процессов), которые отправляют жестко закодированные пакеты жертвам в течение определенного периода времени. Размер HTTP-пакета варьируется от 484 до 589 байт. Пакеты UDP, сгенерированные HinataBot, особенно велики (65 549 байт) и состоят из нулевых байтов, способных перегрузить цель большим объемом трафика.
В итоге HTTP-флуд генерирует большие объемы запросов к целевым сайтам, а UDP-флуд отправляет цели большие объемы мусорного трафика.
Akamai протестировала ботнет в 10-секундных атаках, и вредоносное ПО сгенерировало 20 430 запросов общим размером 3,4 МБ при HTTP-атаке, а UDP-флуд сгенерировал 6733 пакета общим объемом 421 МБ.
Таким образом, исследователи подсчитали, что, задействовав 1000 нодов, UDP-флуд может генерировать атаки мощностью примерно 336 Гбит/с, а если нодов будет 10 000, то мощность атаки достигнет 3,3 Тбит/с.
В случае HTTP-флуда 1000 захваченных устройств будут генерировать 2 000 000 запросов в секунду, а 10 000 нодов — 20 400 000 запросов в секунду, то есть атаку мощностью 27 Гбит/с.
«Теоретические возможности ботнета, очевидно, не учитывают различные типы серверов, которые будут задействованы [в атаках], их пропускную способность и аппаратные возможности, но общее представление о HinataBot составить можно, — пишут исследователи. — Будем надеяться, что авторы HinataBot переключатся на другие хобби, прежде чем нам придется иметь дело с их ботнетом в реальном масштабе».