I ricercatori di Akamai hanno scoperto una nuova botnet che sfrutta le vulnerabilità di server e router per effettuare attacchi DDoS (Distributed Denial of Service). HinataBot sembra basata sul codice di Mirai ed è attualmente in sviluppo. Le prime tracce sono state individuate a metà gennaio. La botnet potrebbe generare un traffico fino a 3,3 Tbps con 10.000 nodi (dispositivi sul quale è installato il client).
HinataBot: nuova pericolosa botnet
HinataBot è scritta in linguaggio Go, quindi supporta diverse architetture e sistemi operativi. Utilizza vari metodi di comunicazione e protocolli (HTTP, UDP, TCP e ICMP) per effettuare attacchi DDoS flooding. La distribuzione avviene tramite script che sfruttano vulnerabilità in server Hadoop YARN, dispositivi Realtek SDK e router Huawei HG532.
L’obiettivo dei cybercriminali è individuare le credenziali di login tramite forza bruta e prendere il controllo dei dispositivi per eseguire codice remoto. Il malware viene eseguito in background e attende i comandi dal server C2 (command and control), ovvero l’avvio dell’attacco DDoS.
Le versioni più recenti di HinataBot eseguono principalmente attacchi DDoS flooding su HTTP e UDP. Effettuando una simulazione, gli esperti di Akamai hanno stimato la potenza della botnet. Con 1.000 nodi è possibile generare fino a 336 Gbps di traffico UDP, mentre con 10.000 nodi si arriva a circa 3,3 Tbps. Nel caso di attacco HTTP, il traffico è inferiore: 2,7 e 27 Gbps, rispettivamente. Le reali prestazioni dipendono dalla dotazione hardware dei dispositivi “zombie” e dalla larghezza di banda.