Se descubrió una nueva botnet de malware dirigida a Realtek SDK, enrutadores Huawei y servidores Hadoop YARN para reclutar dispositivos en un enjambre DDoS (denegación de servicio distribuida) con el potencial de ataques masivos.
La nueva botnet fue descubierta por investigadores de Akamai a principios de año, quienes la detectaron en sus honeypots HTTP y SSH y vieron cómo explotaban fallas antiguas como CVE-2014-8361 y CVE-2017-17215.
Akamai comenta que los operadores de HinataBot inicialmente distribuyeron binarios de Mirai, mientras que HinataBot apareció por primera vez a mediados de enero de 2023. Parece estar basado en Mirai y es una variante basada en Go de la notoria variedad.
Después de capturar varias muestras de campañas activas en marzo de 2023, los investigadores de Akamai dedujeron que el malware está en desarrollo activo, con mejoras funcionales y adiciones antianálisis.
Poder significativo de DDoS
El malware se distribuye mediante puntos finales SSH de fuerza bruta o mediante scripts de infección y cargas útiles RCE para vulnerabilidades conocidas.
Después de infectar los dispositivos, el malware se ejecutará silenciosamente, esperando que se ejecuten los comandos desde el servidor de comando y control.
Los analistas de Akamai crearon un C2 propio e interactuaron con infecciones simuladas para preparar HinataBot para ataques DDoS a fin de observar el malware en acción e inferir sus capacidades de ataque.
Las versiones anteriores de HinataBot admitían inundaciones HTTP, UDP, ICMP y TCP, pero las variantes más nuevas solo incluyen las dos primeras. Sin embargo, incluso con solo dos modos de ataque, la red de bots puede potencialmente realizar ataques distribuidos de denegación de servicio muy poderosos.
Funciones de ataque (Akamai)
Si bien los comandos de ataque HTTP y UDP difieren, ambos crean un grupo de trabajadores de 512 trabajadores (procesos) que envían paquetes de datos codificados a los objetivos durante un período definido.
El tamaño del paquete HTTP oscila entre 484 y 589 bytes. Los paquetes UDP generados por HinataBot son particularmente grandes (65 549 bytes) y consisten en bytes nulos capaces de abrumar al objetivo con un gran volumen de tráfico.
Captura de paquetes de inundación UDP (Akamai)
Las inundaciones HTTP generan grandes volúmenes de solicitudes de sitios web, mientras que las inundaciones UDP envían grandes volúmenes de tráfico basura al objetivo; por lo tanto, los dos métodos intentan lograr una interrupción utilizando un enfoque diferente.
Akamai comparó la botnet en ataques de 10 segundos tanto para HTTP como para UDP, y en el ataque HTTP, el malware generó 20 430 solicitudes con un tamaño total de 3,4 MB. La inundación UDP generó 6.733 paquetes con un total de 421 MB de datos.
Los investigadores estimaron que con 1000 nodos, la inundación UDP podría generar aproximadamente 336 Gbps, mientras que con 10 000 nodos, el volumen de datos del ataque alcanzaría los 3,3 Tbps.
En el caso de la inundación de HTTP, 1000 dispositivos atrapados generarían 2 000 000 de solicitudes por segundo, mientras que 10 000 nodos tomarían esa cantidad de 20 400 000 rps y 27 Gbps.
HinataBot aún está en desarrollo y podría implementar más exploits y ampliar su alcance de orientación en cualquier momento. Además, el hecho de que su desarrollo sea tan activo aumenta la probabilidad de ver versiones más potentes circulando pronto.
"Estas capacidades teóricas, obviamente, no tienen en cuenta los diferentes tipos de servidores que estarían participando, sus respectivos anchos de banda y capacidades de hardware, etc., pero te haces una idea", advierte Akamai.
