تمت ملاحظة روبوت جديد قائم على Golang يطلق عليه اسم HinataBot للاستفادة من العيوب المعروفة للتغلب على أجهزة التوجيه والخوادم واستخدامها لشن هجمات رفض الخدمة الموزعة (DDoS).
وقال أكاماي في تقرير تقني : "يبدو أن مؤلف البرامج الضارة قد أطلق على ثنائيات البرامج الضارة اسم شخصية من سلسلة الرسوم المتحركة الشهيرة ، ناروتو ، مع هياكل أسماء الملفات مثل 'Hinata- <OS> - <Architecture>".
من بين الطرق المستخدمة لتوزيع البرامج الضارة ، استغلال خوادم Hadoop YARN المكشوفة والعيوب الأمنية في أجهزة Realtek SDK ( CVE-2014-8361 ) ، وأجهزة توجيه Huawei HG532 ( CVE-2017-17215 ، درجة CVSS: 8.8).
لقد كانت نقاط الضعف غير المصححة وبيانات الاعتماد الضعيفة بمثابة ثمار متدنية للمهاجمين ، حيث تمثل نقطة دخول سهلة وموثقة جيدًا لا تتطلب أساليب هندسة اجتماعية معقدة أو أساليب أخرى.
يُقال إن الجهات الفاعلة في التهديد وراء HinataBot كانت نشطة منذ ديسمبر 2022 على الأقل ، حيث حاولت الهجمات أولاً استخدام متغير Mirai العام القائم على Go قبل التحول إلى البرامج الضارة المخصصة الخاصة بهم بدءًا من 11 يناير 2023.
منذ ذلك الحين ، تم الكشف عن أحدث القطع الأثرية في مواضع الجذب الخاصة بـ HTTP و SSH في Akamai مؤخرًا مثل هذا الشهر ، حيث تم تجميع المزيد من الوظائف المعيارية وإجراءات الأمان الإضافية لمقاومة التحليل. يشير هذا إلى أن HinataBot لا يزال في مرحلة التطوير والتطور النشط.
البرامج الضارة ، مثل شبكات DDoS الأخرى من نوعها ، قادرة على الاتصال بخادم القيادة والتحكم (C2) للاستماع إلى التعليمات الواردة وبدء الهجمات ضد عنوان IP المستهدف لمدة محددة.
في حين أن الإصدارات القديمة من الروبوتات تستخدم بروتوكولات مثل HTTP و UDP و TCP و ICMP لتنفيذ هجمات DDoS ، فإن التكرار الأخير يقتصر على HTTP و UDP فقط. لم يُعرف على الفور سبب إلغاء البروتوكولين الآخرين.
كشف Akamai ، الذي أجرى اختبارات هجوم مدتها 10 ثوانٍ باستخدام HTTP و UDP ، أن تدفق HTTP ولّد 3.4 ميغابايت من بيانات التقاط الحزمة ودفع 20430 طلب HTTP. من ناحية أخرى ، أنشأ تدفق UDP 6733 حزمة بإجمالي 421 ميجابايت من بيانات التقاط الحزم.
في هجوم افتراضي في العالم الحقيقي باستخدام 10000 روبوت ، فإن تدفق UDP سيبلغ ذروته بأكثر من 3.3 تيرابت في الثانية (Tbps) ، مما يؤدي إلى هجوم حجمي قوي. سيؤدي تدفق HTTP إلى توليد حركة مرور تبلغ حوالي 27 جيجابت في الثانية (جيجابت في الثانية)
هذا التطوير يجعله الأحدث للانضمام إلى القائمة المتزايدة باستمرار من التهديدات الناشئة القائمة على Go مثل GoBruteforcer و KmsdBot .
"استفاد المهاجمون من Go لجني فوائد أدائه العالي ، وسهولة خيوط المعالجة المتعددة ، وبنيته المتعددة ودعم التجميع المتقاطع لنظام التشغيل ، ولكن من المحتمل أيضًا أنه يضيف تعقيدًا عند تجميعه ، مما يزيد من صعوبة الهندسة العكسية الثنائيات الناتجة "، قال Akamai.
وتأتي النتائج أيضًا عندما كشفت Microsoft أن هجمات TCP ظهرت باعتبارها الشكل الأكثر شيوعًا لهجمات DDoS التي تمت مواجهتها في عام 2022 ، حيث تمثل 63٪ من جميع حركة مرور الهجمات ، تليها هجمات UDP وتضخيم الهجمات (22٪) ، وهجمات الحزمة الشاذة (15). ٪).
إلى جانب استخدامها كمشتتات لإخفاء الابتزاز وسرقة البيانات ، من المتوقع أيضًا أن تزداد هجمات DDoS بسبب وصول سلالات برمجيات خبيثة جديدة قادرة على استهداف أجهزة إنترنت الأشياء والاستيلاء على الحسابات للحصول على وصول غير مصرح به إلى الموارد.
قال فريق Azure Network Security التابع لشركة Azure Network Security ، إنه "مع زيادة تواتر هجمات DDoS وتعقيدها ورخص تكلفة إطلاقها ، من المهم للمؤسسات من جميع الأحجام أن تكون استباقية وأن تظل محمية طوال العام وأن تطور إستراتيجية استجابة DDoS" .