Mirai a rămas în memoria colectivă a administratorilor de rețea după valul de atacuri din 2016, iar acum o nouă variantă a revenit în prim‑plan: FortiGuard Labs a semnalat un botnet denumit ShadowV2 care a vizat dispozitive IoT de la D‑Link, TP‑Link și alți producători, cu activitate raportată la nivel global și observată chiar în timpul întreruperii majore AWS din octombrie. Problema depășește aspectele tehnice, este o reamintire că routerele, camerele și NAS‑urile pot deveni vectori eficienți pentru rețele de atac dacă rămân neactualizate, la fel cum s‑a întâmplat anterior cu Mirai și derivații săi.
Cercetătorii FortiGuard au identificat ShadowV2 în fereastra de timeout AWS; incidentele nu par a fi corelate direct, dar faptul că botnetul a fost activ doar pe durata întreruperii sugerează un test sau un experiment de mică amploare. Malware‑ul exploatează cel puțin opt vulnerabilități cunoscute în produse IoT: un bug vechi din DD‑WRT (CVE‑2009‑2765), mai multe defecte la D‑Link (CVE‑2020‑25506, CVE‑2022‑37055, CVE‑2024‑10914, CVE‑2024‑10915), o vulnerabilitate la DigiEver (CVE‑2023‑52163), una la TBK (CVE‑2024‑3721) și una la TP‑Link (CVE‑2024‑53375). CVE‑2024‑10914 este un command injection deja cunoscut ca fiind exploatat și afectează modele D‑Link aflate la sfârșitul ciclului de viață; producătorul a anunțat că nu va oferi patch‑uri pentru acele echipamente. Pentru CVE‑2024‑10915, raportarea din noiembrie 2024 de către NetSecFish și contactul ulterior cu vendorul au confirmat, de asemenea, lipsa unui update pentru modelele afectate. D‑Link a actualizat o informare mai veche pentru a include acel CVE și a publicat o notă care menționează campania ShadowV2, subliniind că dispozitivele fără suport nu vor primi firmware noi. În schimb, pentru CVE‑2024‑53375 a fost raportată o remediere disponibilă printr‑un firmware beta.
Din punct de vedere tehnic, ShadowV2 se identifică ca ShadowV2 Build v1.0.0 IoT version și, potrivit cercetătorilor, are asemănări cu varianta Mirai LZRD. Livrarea începe cu o etapă inițială ce folosește un downloader script denumit binary.sh, care descarcă payload‑ul de pe serverul 81.88.18.108. Configurațiile sunt codate XOR pentru căi din sistemul de fișiere, stringuri User‑Agent, antete HTTP și alte stringuri tipice Mirai. Funcțional, malware‑ul poate lansa atacuri DDoS pe UDP, TCP și HTTP, oferind mai multe tipuri de flood pentru fiecare protocol, iar infrastructura de comandă și control transmite comenzile către botnet pentru declanșarea atacurilor.
Conform raportului FortiGuard, atacurile observate au pornit dintr‑un IP asociat (198.199.72.27) și au vizat routere, dispozitive NAS și DVR‑uri din șapte sectoare: administrație, tehnologie, producție, furnizori de servicii de securitate gestionate, telecom, educație și altele. Impactul a fost geografic extins, cu activitate semnalată în America de Nord și de Sud, Europa, Africa, Asia și Australia. Fortinet a pus la dispoziție indicatori de compromis (IoC) în raport pentru a facilita detectarea, iar recomandarea generală rămâne neschimbată: mențineți firmware‑ul actualizat pe dispozitivele suportate; pentru echipamentele EoL, luați în considerare înlocuirea sau izolarea lor în rețea pentru a diminua riscul. Monetizarea obișnuită a unor astfel de botneturi implică închirierea capacității DDoS sau extorcarea victimelor, însă pentru ShadowV2 nu există, deocamdată, informații clare despre operatori sau despre strategia folosită.
ShadowV2 a fost activ în timpul întreruperii AWS din octombrie, după cum au observat cercetătorii FortiGuard Labs. Persistența exploatărilor pentru CVE‑2024‑10914 și CVE‑2024‑10915 pe echipamente D‑Link la sfârșitul ciclului de viață evidențiază o problemă structurală: hardware‑ul neactualizat rămâne o țintă facilă pentru variantele Mirai. Verificați IoC‑urile publicate, aplicați patch‑urile disponibile și planificați înlocuirea echipamentelor care nu mai primesc suport, precum cele menționate mai sus.
Ce măsuri ai luat pentru routerele și dispozitivele IoT pe care le folosești acasă sau la birou?
Fii primul care comentează