Ботнет HinataBot может организовывать DDoS-атаки мощностью 3,3 Тбит/с

Обнаружен новый ботнет HinataBot, нацеленный на Realtek SDK, маршрутизаторы Huawei и серверы Hadoop YARN, который ориентирован на проведение крупномасштабных DDoS-атак. Эксперты Акамай Я считаю, что вредоносное ПО основано на коде Mirai и является версией этого вредоносного ПО на основе Go.

Приманки Akamai (HTTP и SSH) были обнаружены HinataBot в январе 2023 года, когда вредоносное ПО использовало старые уязвимости. CVE-2014-8361 и CVE-2017-17215. Эксперты отмечают, что сначала операторы HinataBot распространяли бинарники Mirai, и только потом появился HinataBot.

Собрав несколько образцов вредоносного ПО из кампаний, активных в марте 2023 года, исследователи пришли к выводу, что вредоносное ПО все еще находится в разработке и недавно получило ряд функциональных улучшений и усиленную защиту от анализа.

HinataBot в основном распространяется через брутфорс SSH или с помощью скриптов и эксплуатации известных уязвимостей. После заражения устройства вредоносное ПО будет запускаться на скомпрометированной машине, ожидая команд от сервера управления и контроля.

Аналитики Akamai настроили свой C&C-сервер для проведения DDoS-атаки с помощью HinataBot, наблюдают за вредоносной программой в действии и делают выводы о ее атакующих возможностях. Старые версии HinataBot поддерживали флуд через HTTP, UDP, ICMP и TCP, но в более новых версиях активны только первые два варианта. При этом аналитики предупреждают, что даже при двух методах атаки ботнет потенциально способен на многое.

Хотя команды атаки для HTTP и UDP различаются, обе создают рабочую группу из 512 рабочих (процессов), которые отправляют зашифрованные пакеты жертвам в течение определенного периода времени. Размер HTTP-пакета варьируется от 484 до 589 байт. Пакеты UDP, сгенерированные HinataBot, особенно велики (65 549 байт) и состоят из нулевых байтов, которые могут перегрузить цель большим объемом трафика.

В результате HTTP-флуд генерирует большие объемы запросов к сайтам назначения, а UDP-флуд отправляет большие объемы ненужного трафика в пункт назначения.

Akamai протестировал ботнет в 10-секундных атаках, и вредоносное ПО сгенерировало 20 430 запросов общим размером 3,4 МБ в HTTP-атаке, а UDP-флуд сгенерировал 6733 пакета общим размером 421 МБ.

Так, исследователи подсчитали, что при использовании 1000 узлов UDP-флуд может генерировать атаки мощностью около 336 Гбит/с, а если узлов 10 000, то мощность атаки достигает 3,3 Тбит/с.

В случае HTTP-флуда 1000 захваченных устройств будут генерировать 2 000 000 запросов в секунду, а 10 000 узлов будут генерировать 20 400 000 запросов в секунду, то есть атака 27 Гбит/с.

«Теоретические возможности ботнета, очевидно, не учитывают различные типы серверов, которые будут задействованы. [в атаках], его пропускной способности и аппаратных мощностях, но общее представление о HinataBot получить можно, пишут исследователи. «Мы надеемся, что авторы HinataBot перейдут к другим увлечениям, прежде чем им придется иметь дело со своим ботнетом в реальном масштабе».