Il team di risposta all'intelligence sulla sicurezza di Akamai (SIRT) ha recentemente riportato la scoperta di una botnet basata su Go di nuova concezione, di nome “HinataBot” dai ricercatori. Questa botnet è focalizzata su Distributed Denial of Service (DDoS) attacca e sembra aver preso il nome da un personaggio della popolare serie anime, Naruto, dall'autore del malware.
CVE-2014-8361, CVE-2017-17215 Utilizzato negli attacchi DDoS
I tentativi di infezione osservati hanno comportato lo sfruttamento del servizio SOAP miniigd sui dispositivi Realtek SDK (CVE-2014-8361), sfruttando una vulnerabilità nei router Huawei HG532 (CVE-2.017-17.215), e prendendo di mira i server Hadoop YARN esposti (CVE non disponibile).
È interessante notare che la vulnerabilità Huawei, in particolare, è stato utilizzato per creare una botnet da un autore di malware noto come Anarchy in 2018 che compromesso più di 18,000 router in un solo giorno. Secondo i ricercatori di sicurezza, Anarchy potrebbe essere lo stesso hacker che in precedenza utilizzava il soprannome di Wicked e che si cela dietro alcune delle variazioni di Mirai (Malvagio, Omni, e Owari).
Uno sguardo a HinataBot
HinataBot, che essenzialmente è un malware basato su Go, è stato scoperto all'interno di honeypot HTTP e SSH. Il malware è degno di nota per le sue grandi dimensioni e la mancanza di un'identificazione specifica attorno ai suoi hash più recenti. Le strutture dei nomi dei file dei file binari del malware prendono il nome da un personaggio della popolare serie anime, Naruto, come “Hinata-
Grazie alle sue elevate prestazioni, facilità di multithreading, e la sua capacità di essere compilato in modo incrociato per più architetture e sistemi operativi, la prevalenza di minacce basate su Go come HinataBot, Vai BruteForcer, e kmsdbot sta aumentando. Gli aggressori possono scegliere Go per la sua complessità durante la compilazione, rendendo più difficile il reverse engineering dei binari finali.
HinataBot è stato progettato per comunicare tramite più metodi, come l'avvio e l'accettazione di connessioni in entrata. In passato, è stato osservato che conduce attacchi DDoS flooding utilizzando protocolli come HTTP, UDP, TCP, e ICMP. Tuttavia, l'ultima versione di HinataBot ha limitato i suoi metodi di attacco solo a HTTP e UDP.
L'emergere di HinataBot è una testimonianza del panorama delle minacce in continua evoluzione, in particolare per quanto riguarda le botnet. I criminali informatici escogitano costantemente nuovi modi per distribuire codice dannoso, come codificare in diverse lingue e sfruttare diverse reti di distribuzione. Prendendo in prestito da tattiche consolidate, come quelli impiegati dagli infami Mirai, gli aggressori possono concentrarsi sulla creazione di malware difficili da rilevare e in grado di evolversi nel tempo incorporando nuove funzionalità, ha concluso il team di Akamai.