Το botnet HinataBot που ανακαλύφθηκε πρόσφατα έχει τη δυνατότητα να εξαπολύει πρωτοφανώς ισχυρές επιθέσεις DDoS ταχύτητας έως και 3,3 Tbps, αποτελώντας σημαντική απειλή για την ασφάλεια εταιρειών και ιδιωτών σε όλο τον κόσμο.
Το ένα νέο botnet κακόβουλου λογισμικού HinataBot στοχεύει το Realtek SDK, τα routers Huawei και τους servers Hadoop YARN για τη στρατολόγηση συσκευών σε swarm DDoS (distributed denial of service) με πιθανότητα μαζικών επιθέσεων.
Το νέο botnet ανακαλύφθηκε από ερευνητές στο Akamai στις αρχές του έτους, οι οποίοι το έπιασαν στα HTTP και SSH honeypots τους, ενώ το είδαν να εκμεταλλεύεται παλιά ελαττώματα όπως το CVE-2014-8361 και το CVE-2017-17215.
Η Akamai αναφέρει ότι οι διανομείς του HinataBot κυκλοφόρησαν για πρώτη φορά binaries Mirai και το HinataBot δημιουργήθηκε στα μέσα Ιανουαρίου 2023. Φαίνεται να προέρχεται από το Mirai και είναι μια έκδοση Go του γνωστού στελέχους.
Αφού συνέλεξαν πολλαπλά δείγματα από συνεχιζόμενες εκστρατείες μόλις τον Μάρτιο του 2023, οι ερευνητές της Akamai διαπίστωσαν ότι το κακόβουλο λογισμικό εξακολουθεί να αναπτύσσεται και τώρα διαθέτει βελτιωμένη λειτουργικότητα και χαρακτηριστικά anti-analysis.
Σημαντική ισχύς DDoS
Το κακόβουλο λογισμικό εξαπλώνεται με παραβίαση endpoint SSH ή μέσω κακόβουλων script και RCE payloads για γνωστές αδυναμίες.
Μόλις το κακόβουλο λογισμικό διεισδύσει σε μια συσκευή, θα παραμείνει αδρανές μέχρι να λάβει οδηγίες από τον διακομιστή εντολών και ελέγχου.
Οι ειδικοί ασφαλείας της Akamai δημιούργησαν ένα δικό τους C2 και αλληλεπίδρασαν με τεχνητές μολύνσεις για να ρυθμίσουν το HinataBot για επιθέσεις DDoS, επιτρέποντάς τους έτσι να παρατηρήσουν το κακόβουλο λογισμικό σε δράση και να συμπεράνουν τις δυνατότητες επίθεσής του.
Αν και οι προηγούμενες εκδόσεις του HinataBot υποστήριζαν floods HTTP, UDP, ICMP και TCP ταυτόχρονα, τα πιο πρόσφατα μοντέλα διαθέτουν μόνο δύο μεθόδους επίθεσης. Παρά αυτόν τον περιορισμό στις δυνατότητες, ωστόσο, αυτά τα botnets εξακολουθούν να είναι ικανά να παράγουν εξαιρετικά ισχυρές κατανεμημένες επιθέσεις denial of service.
Αν και οι εντολές επίθεσης HTTP και UDP διαφέρουν, και οι δύο δημιουργούν μια ομάδα εργαζομένων που αποτελείται από 512 διεργασίες οι οποίες μεταδίδουν προκαθορισμένα πακέτα δεδομένων σε στόχους για μια καθορισμένη περίοδο.
Το μέγεθος των πακέτων HTTP συνήθως ποικίλλει και κυμαίνεται από 484 έως 589 bytes. Αντίθετα, τα πακέτα UDP που παράγει το HinataBot είναι απίστευτα μεγάλα – έως και 65.549 bytes! Αυτά τα γεμάτα δεδομένα πακέτα αποτελούνται από μηδενικά bytes που μπορούν γρήγορα να κατακλύσουν τον στόχο με μια ισχυρή πλημμύρα κυκλοφορίας.
Τα HTTP floods στέλνουν έναν τεράστιο όγκο αιτημάτων ιστότοπου, ενώ τα UDP floods εκτοξεύουν μια σειρά από άχρηστη κίνηση στο στόχο. Παρά τη χρήση διαφορετικών μεθόδων, και οι δύο προσεγγίσεις προσπαθούν να προκαλέσουν διακοπή της υπηρεσίας.
Η Akamai πραγματοποίησε δοκιμές botnet διάρκειας 10 δευτερολέπτων μέσω HTTP και UDP, μετρώντας 20.430 αιτήσεις των 3,4 MB στην πρώτη περίπτωση και 6.733 πακέτα των 421 MB για τη δεύτερη. Τα αποτελέσματα ήταν αξιοσημείωτα – το κακόβουλο λογισμικό είχε δεκαπλάσια επίδραση στον όγκο δεδομένων με τα UDP floods σε σύγκριση με την επίδρασή του μέσω αιτημάτων HTTP!
Οι ερευνητές υπολόγισαν ότι με 1.000 nodes, το UDP flood θα μπορούσε να δημιουργήσει περίπου 336 Gbps, ενώ στους 10.000 nodes, ο όγκος δεδομένων επίθεσης θα έφτανε τα 3,3 Tbps.
Στην περίπτωση ενός HTTP flood, 1.000 συσκευές μπορούν να δημιουργήσουν 2 εκατομμύρια αιτήματα ανά δευτερόλεπτο. Εν τω μεταξύ, 10.000 nodes θα μπορούσαν να δημιουργήσουν έως και 20,4 εκατομμύρια αιτήματα ανά δευτερόλεπτο και 27 Gbps σε κίνηση!
Καθώς το HinataBot είναι ένα έργο σε ανάπτυξη, ενδέχεται να ενσωματώσει περαιτέρω exploits και να διευρύνει το πεδίο εφαρμογής του στο στόχαστρο στο εγγύς μέλλον. Επιπλέον, με την τόσο ενεργή πρόοδο που σημειώνεται σε αυτό το botnet, θα πρέπει να περιμένουμε να δούμε πιο ισχυρές εκδόσεις να κυκλοφορούν σύντομα.
Πηγή πληροφοριών: bleepingcomputer.com
