HinataBot est un nouveau logiciel malveillant écrit en GoLang

Un botnet récemment découvert nommé HinataBot, construit sur la plate-forme Golang, tire parti des vulnérabilités connues des routeurs et des serveurs pour lancer des attaques par déni de service distribué (DDoS).

Le créateur du malware semble l'avoir nommé d'après un personnage de la série animée Naruto. Le botnet est distribué par diverses méthodes, notamment en exploitant les failles de sécurité des routeurs Huawei HG532 et des appareils Realtek SDK, et en exposant les serveurs Hadoop YARN. Les attaquants profitent de vulnérabilités non corrigées et d'informations d'identification faibles, qui sont des points d'entrée bien connus et documentés qui ne nécessitent pas de tactiques d'ingénierie sociale complexes.

Les attaquants derrière HinataBot sont actifs depuis au moins décembre 2022, et ils sont passés d'une variante générique de Mirai à leur logiciel malveillant personnalisé en janvier 2023. Des artefacts récents détectés dans les pots de miel HTTP et SSH d'Akamai indiquent que HinataBot est toujours en cours de développement et d'évolution. Le logiciel malveillant peut communiquer avec un serveur de commande et de contrôle (C2) pour recevoir des instructions et lancer des attaques contre une adresse IP spécifiée pendant une durée spécifique.

Alors que les premières versions de HinataBot pouvaient utiliser divers protocoles pour les attaques DDoS, la dernière version n'utilise que HTTP et UDP, et la raison de ce changement n'est pas encore claire.

En quoi les botnets similaires à HinataBot sont-ils utilisés pour exécuter des attaques DDoS ?

Les botnets comme HinataBot sont fréquemment utilisés pour lancer des attaques DDoS. Lors d'une attaque DDoS, un grand nombre d'appareils, souvent des ordinateurs compromis ou des appareils de l'Internet des objets (IoT), sont utilisés pour inonder une cible d'une quantité écrasante de trafic. Ce flux de trafic ralentit le système ciblé, ne répond plus ou même plante.

Un botnet est un réseau d'appareils qui ont été compromis et qui sont sous le contrôle d'un pirate ou d'un groupe de pirates. Une fois qu'un appareil est compromis, il peut être contrôlé à distance par les opérateurs du botnet, à l'insu du propriétaire. Ces appareils compromis sont ensuite utilisés pour lancer des attaques DDoS, les opérateurs du botnet ordonnant aux appareils d'envoyer du trafic vers une adresse IP ou un domaine cible.

HinataBot, comme d'autres botnets, peut être utilisé pour lancer une variété d'attaques DDoS, y compris des attaques volumétriques qui inondent la cible de trafic, des attaques de la couche application qui ciblent des vulnérabilités spécifiques dans la couche application et des attaques de protocole qui exploitent les vulnérabilités des protocoles réseau. La possibilité de lancer ces types d'attaques fait des botnets un outil puissant pour les cybercriminels qui cherchent à perturber ou à supprimer des services en ligne.

Pour éviter de faire partie d'un botnet, il est important de maintenir les appareils à jour avec les derniers correctifs de sécurité, d'utiliser des mots de passe forts et une authentification à deux facteurs, et d'être prudent lors du téléchargement de logiciels ou de cliquer sur des liens provenant de sources inconnues. Il est également essentiel d'avoir un plan de protection DDoS en place pour atténuer l'impact d'une attaque.