HinataBot to nowe złośliwe oprogramowanie napisane w GoLangu

Niedawno odkryty botnet o nazwie HinataBot, zbudowany na platformie Golang, wykorzystuje znane luki w routerach i serwerach do przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS).

Wydaje się, że twórca złośliwego oprogramowania nazwał go na cześć postaci z serii anime Naruto. Botnet jest dystrybuowany różnymi metodami, w tym wykorzystując luki w zabezpieczeniach routerów Huawei HG532 i urządzeń Realtek SDK oraz odsłoniętych serwerów Hadoop YARN. Atakujący wykorzystują niezałatane luki w zabezpieczeniach i słabe dane uwierzytelniające, które są dobrze znanymi i udokumentowanymi punktami wejścia, które nie wymagają skomplikowanych taktyk socjotechnicznych.

Osoby atakujące stojące za HinataBot są aktywne co najmniej od grudnia 2022 r., aw styczniu 2023 r. przestawiły się z ogólnego wariantu Mirai na niestandardowe złośliwe oprogramowanie. Ostatnie artefakty wykryte w honeypotach HTTP i SSH firmy Akamai wskazują, że HinataBot jest nadal aktywnie rozwijany i ewoluuje. Złośliwe oprogramowanie może komunikować się z serwerem dowodzenia i kontroli (C2), aby otrzymywać instrukcje i przeprowadzać ataki na określony adres IP przez określony czas.

Podczas gdy wczesne wersje HinataBot mogły wykorzystywać różne protokoły do ataków DDoS, najnowsza wersja wykorzystuje tylko HTTP i UDP, a przyczyna tej zmiany nie jest jeszcze jasna.

W jaki sposób botnety są podobne do HinataBot wykorzystywane do przeprowadzania ataków DDoS?

Botnety, takie jak HinataBot, są często wykorzystywane do przeprowadzania ataków DDoS. W ataku DDoS duża liczba urządzeń, często zainfekowanych komputerów lub urządzeń Internetu rzeczy (IoT), jest wykorzystywana do zalewu celu przytłaczającą ilością ruchu. Ta powódź ruchu powoduje spowolnienie docelowego systemu, brak reakcji lub nawet awarię.

Botnet to sieć urządzeń, które zostały przejęte i znajdują się pod kontrolą hakera lub grupy hakerów. Gdy urządzenie zostanie przejęte, operatorzy botnetu mogą nim zdalnie sterować, bez wiedzy właściciela. Te zainfekowane urządzenia są następnie wykorzystywane do przeprowadzania ataków DDoS, przy czym operatorzy botnetu kierują urządzenia tak, aby wysyłały ruch do docelowego adresu IP lub domeny.

HinataBot, podobnie jak inne botnety, może być używany do przeprowadzania różnych ataków DDoS, w tym ataków wolumetrycznych, które zalewają cel ruchem, ataków warstwy aplikacji, których celem są określone luki w warstwie aplikacji, oraz ataków protokołów, które wykorzystują luki w protokołach sieciowych. Możliwość przeprowadzania tego typu ataków sprawia, że botnety są potężnym narzędziem dla cyberprzestępców, którzy chcą zakłócać lub wyłączać usługi online.

Aby nie stać się częścią botnetu, należy na bieżąco aktualizować urządzenia za pomocą najnowszych poprawek bezpieczeństwa, używać silnych haseł i uwierzytelniania dwuskładnikowego oraz zachować ostrożność podczas pobierania oprogramowania lub klikania łączy z nieznanych źródeł. Niezbędne jest również posiadanie planu ochrony przed atakami DDoS, aby złagodzić skutki ataku.