Un nouveau botnet malveillant a été découvert ciblant Realtek SDK, les routeurs Huawei et les serveurs Hadoop YARN pour recruter des appareils dans un essaim DDoS (déni de service distribué) avec le potentiel d’attaques massives.
Le nouveau botnet a été découvert par des chercheurs d’Akamai au début de l’année, qui l’ont détecté sur leurs pots de miel HTTP et SSH, vus exploiter d’anciennes failles telles que CVE-2014-8361 et CVE-2017-17215.
Akamai commente que les opérateurs de HinataBot ont initialement distribué des binaires Mirai, tandis que HinataBot est apparu pour la première fois à la mi-janvier 2023. Il semble être basé sur Mirai et est une variante basée sur Go de la souche notoire.
Après avoir capturé plusieurs échantillons de campagnes actives aussi récemment qu’en mars 2023, les chercheurs d’Akamai ont déduit que le logiciel malveillant est en cours de développement actif, avec des améliorations fonctionnelles et des ajouts anti-analyse.
Puissance DDoS importante
Le logiciel malveillant est distribué en forçant brutalement les terminaux SSH ou en utilisant des scripts d’infection et des charges utiles RCE pour les vulnérabilités connues.
Après avoir infecté les appareils, le logiciel malveillant s’exécutera silencieusement, attendant que les commandes soient exécutées à partir du serveur de commande et de contrôle.
Les analystes d’Akamai ont créé leur propre C2 et ont interagi avec des infections simulées pour mettre en scène HinataBot pour les attaques DDoS afin d’observer le logiciel malveillant en action et de déduire ses capacités d’attaque.
Les anciennes versions de HinataBot prenaient en charge les inondations HTTP, UDP, ICMP et TCP, mais les nouvelles variantes ne comportent que les deux premières. Cependant, même avec seulement deux modes d’attaque, le botnet peut potentiellement effectuer des attaques par déni de service distribué très puissantes.
Bien que les commandes d’attaque HTTP et UDP diffèrent, elles créent toutes deux un pool de travailleurs de 512 travailleurs (processus) qui envoient des paquets de données codés en dur aux cibles pendant une durée définie.
La taille des paquets HTTP est comprise entre 484 et 589 octets. Les paquets UDP générés par HinataBot sont particulièrement volumineux (65 549 octets) et se composent d’octets nuls capables de submerger la cible avec un volume de trafic important.
Les inondations HTTP génèrent de gros volumes de requêtes de sites Web, tandis que les inondations UDP envoient de gros volumes de trafic de déchets à la cible ; par conséquent, les deux méthodes tentent d’obtenir une panne en utilisant une approche différente.
Akamai a évalué le botnet dans des attaques de 10 secondes pour HTTP et UDP, et dans l’attaque HTTP, le logiciel malveillant a généré 20 430 requêtes pour une taille totale de 3,4 Mo. L’inondation UDP a généré 6 733 paquets totalisant 421 Mo de données.
Les chercheurs ont estimé qu’avec 1 000 nœuds, l’inondation UDP pourrait générer environ 336 Gbps, tandis qu’avec 10 000 nœuds, le volume de données d’attaque atteindrait 3,3 Tbps.
Dans le cas de l’inondation HTTP, 1 000 appareils pris au piège généreraient 2 000 000 requêtes par seconde, tandis que 10 000 nœuds prendraient ce nombre de 20 400 000 rps et 27 Gbps.
HinataBot est toujours en développement et pourrait implémenter plus d’exploits et élargir sa portée de ciblage à tout moment. De plus, le fait que son développement soit si actif augmente la probabilité de voir bientôt des versions plus puissantes circuler dans la nature.
« Ces capacités théoriques ne tiennent évidemment pas compte des différents types de serveurs qui participeraient, de leur bande passante et de leurs capacités matérielles respectives, etc., mais vous obtenez l’image », prévient Akamai.
« Espérons que les auteurs de HinataBot se tournent vers de nouveaux passe-temps avant que nous n’ayons à nous occuper de leur botnet à une échelle réelle. »