Seit mehr als 20 Jahren bedrohen Botnets die Internetnutzer weltweit. Von Spam-Mails über DDoS-Attacken: Botnets werden für die unterschiedlichsten kriminellen Aktivitäten eingesetzt. Nun entdeckten Akamai Forscher:innen des Security Intelligence Response Teams (SIRT) ein neues, auf Distributed-Denial-of-Service-Angriffe (DDoS) spezialisiertes Botnet.
Die Schöpfer des Botnets tauften es auf den Namen „Hinata“ („HinataBot“). Inspiriert hat sie dabei vermutlich die populäre Anime-Serie „Naruto“. Erste Versuche der Schadsoftware-Distribution erfolgten zu Beginn diesen Jahres. Inzwischen wurden mehrere neue Versionen des HinataBots eingesetzt. Es ist also davon auszugehen, dass eine aktive, fortlaufende Entwicklung stattfindet.
Erstmals erkannt wurde der auf der Golong (Go)-Programmiersprache basierende HinataBot in HTTP und SSH Honeypots – absichtlich ausgelegte Fallen, die kriminelle Organisationen anlocken sollen. Hier nutzte der Bot alte Schwachstellen aus, um sich Zugang zu verschaffen.
Dabei stellten die Expert:innen von Akamai ebenfalls fest, dass der HinataBot scheinbar mit dem berüchtigten Mirai Botnet in Verbindung steht. Der HinataBot ist demzufolge der nächste Versuch, Mirai in Go umzuschreiben, was ein Reverse Engineering erschwert.
Geräte, bei denen Infektionsversuche beobachtet wurden, waren unter anderem ungepatchte Realtek SDK-Produkte (CVE-2014-8361), Huawei HG532 Router (CVE-2017-17215) sowie ungeschützte Hadoop YARN Server (CVE N/A). Hierfür verwenden die Akteure einen Mix aus Skripten und Payloads, die bekannte Schwachstellen der miniigd SOAP services in Realtek SDK-Geräten sowie eine Hadoop YARN RCE ausnutzen.
Aufgrund der kontinuierlichen Veränderungen des HinataBots wird Akamai selbstverständlich über neue Versionen berichten, sobald diese entdeckt werden. Aktuell empfehlen die Expert:innen, anfällige Geräte schnellstmöglich zu patchen und etwaige Passwortrichtlinien anzupassen.
HinataBot ist nämlich nicht das einzige auf Go basierende Botnet. Unit 42 Forscher:innen stießen auf GoBruteForcer, während Akamais SIRT den kmsdbot fanden: Der Trend ist also ungebrochen, was die Gefahrenlage insgesamt erhöht.