Das Forschungsteam von FortiGuard Labs hat einen neuen IoT-Botnet-Ableger auf Basis des bekannten Mirai-Codes identifiziert: ShadowV2. Der Botnet nutzt mindestens acht bereits dokumentierte Schwachstellen in Produkten von D-Link, TP-Link und weiteren Herstellern aus und missbraucht Heim- und Unternehmensgeräte für DDoS-Angriffe.
Gezielter Testlauf: Auffällige Aktivität während AWS-Stoerung
Erstmals registrierten FortiGuard-Analysten ShadowV2 während einer größeren Störung der Cloud-Plattform AWS im Oktober 2024. Auffällig: Die Botnet-Aktivität fiel nahezu vollständig in das Zeitfenster dieses Incidents und brach danach abrupt ab. Die Forschenden bewerten dies als begrenzten Testlauf der Infrastruktur für möglicherweise kommende, umfangreichere Kampagnen.
Die Angriffe gingen laut Bericht von einem einzelnen IP-Ursprung 198[.]199[.]72[.]27 aus. Ziel waren Router, NAS-Systeme und Videorekorder in unterschiedlichen Netzwerksegmenten – von kleinen Heimnetzen bis hin zu Unternehmensumgebungen. Dieses Muster deutet auf eine gezielt vorbereitete und zentral gesteuerte Botnet-Ausrollung hin.
Ausgenutzte Schwachstellen in IoT-Geraeten
ShadowV2 verbreitet sich durch automatisiertes Scannen des Internets nach verwundbaren Geräten und die Ausnutzung bekannter CVE-Schwachstellen. Besonders betroffen sind IoT-Geräte mit veralteter oder nicht mehr gepflegter Firmware.
D-Link-Router im EoL-Status als hohes Risiko
Im Fokus stehen mehrere Schwachstellen in D-Link-Geräten:
Von ShadowV2 ausgenutzte D-Link-CVEs:
– CVE-2020-25506
– CVE-2022-37055
– CVE-2024-10914
– CVE-2024-10915
Als besonders kritisch gilt CVE-2024-10914. Die Lücke erlaubt nicht authentifizierten Angreifern, beliebige Befehle aus der Ferne auf bestimmten, älteren D-Link-Routern auszuführen. Der Hersteller hat bestätigt, dass für einen Teil der betroffenen Modelle keine Patches mehr bereitgestellt werden, da diese sich im Status End-of-Life (EoL) befinden.
Eine ähnliche Problematik zeigt sich bei CVE-2024-10915. D-Link aktualisierte seinen Sicherheits-Hinweis um diese Schwachstelle und warnte ausdrücklich vor beobachteter ShadowV2-Aktivität. Nutzerinnen und Nutzer werden erneut darauf hingewiesen, dass EoL-Geräte keine Sicherheitsupdates mehr erhalten und damit ein dauerhaft erhöhtes Kompromittierungsrisiko darstellen.
TP-Link, DD-WRT und weitere Hersteller im Fadenkreuz
ShadowV2 beschränkt sich nicht auf D-Link-Hardware. Zu den weiteren ausgenutzten Schwachstellen zählen:
– CVE-2009-2765 – ältere Geräte auf Basis der Firmware DD-WRT;
– CVE-2023-52163 – DigiEver-Videorekorder;
– CVE-2024-3721 – TBK-Geräte;
– CVE-2024-53375 – TP-Link-Router.
Für CVE-2024-53375 in TP-Link-Routern steht laut FortiGuard bereits eine Beta-Firmware bereit. Bis dieses Update jedoch breit ausgerollt und installiert ist, bleiben betroffene Geräte für ShadowV2 und ähnliche Mirai-Derivate attraktive Einstiegsziele.
Infektionskette und DDoS-Funktionalitaet von ShadowV2
Strukturell ähnelt ShadowV2 dem bereits bekannten Mirai-Fork Mirai LZRD. Nach erfolgreicher Ausnutzung einer Schwachstelle lädt ein Skript namens binary.sh den eigentlichen Schadcode (Payload) von 81[.]88[.]18[.]108 nach. Anschließend etabliert sich der Bot dauerhaft auf dem Gerät und verbindet sich mit der Command-and-Control-Infrastruktur (C2).
Infizierte Geräte werden genutzt, um DDoS-Angriffe über UDP, TCP und HTTP zu fahren. Für jedes Protokoll sind unterschiedliche Flood-Techniken implementiert, um Filtermechanismen von Firewalls und DDoS-Schutzsystemen zu umgehen. Die C2-Server steuern die kompromittierten Geräte zentral und können so hochskalierte, verteilte Angriffe gegen beliebige Ziele orchestrieren.
Globale Verbreitung und betroffene Branchen
ShadowV2-Aktivität wurde in 28 Ländern festgestellt, darunter Kanada, USA, Mexiko, Brasilien, Chile, mehrere europäische Staaten, Großbritannien, Russland, Kasachstan, Länder des Nahen Ostens sowie China, Japan, Taiwan, die Philippinen und Australien. Dieses Muster entspricht dem typischen globalen Streubild moderner IoT-Botnetze.
Die beobachteten Angriffe betrafen Organisationen in mindestens sieben kritischen Sektoren: öffentliche Verwaltung, Technologie, Fertigungsindustrie, MSSP-Dienstleister, Telekommunikationsunternehmen und Bildungseinrichtungen. Damit wird deutlich, dass nicht nur Privathaushalte, sondern auch geschäftskritische Infrastrukturen einem erhöhten Risiko ausgesetzt sind.
Warum Mirai-Derivate wie ShadowV2 weiterhin gefaehrlich sind
Seit dem ursprünglichen Mirai-Angriff auf den DNS-Dienstleister Dyn im Jahr 2016, der weite Teile des Internets zeitweise lahmlegte, gelten Mirai-basierte Botnetze als eine der wirksamsten DDoS-Waffen. Studien von ENISA und anderen Sicherheitsorganisationen zeigen, dass ein signifikanter Anteil der IoT-DDoS-Angriffe weiterhin auf Mirai-Abkömmlinge zurückgeht.
ShadowV2 unterstreicht diese Entwicklung: bekannte Schwachstellen und veraltete Geräte bleiben über Jahre hinweg ausnutzbar, weil sie nicht gepatcht oder aus dem Betrieb genommen werden. Besonders problematisch sind IoT-Geräte, die sich außerhalb klassischer Lifecycle-Prozesse von Unternehmen befinden, etwa Kameras, kleine Router oder NVR-Systeme, die oft „einmal installiert und dann vergessen“ werden.
FortiGuard Labs stellt zu ShadowV2 Indikatoren einer Kompromittierung (IoCs) bereit. Diese lassen sich in SIEM-, IDS/IPS- und Firewall-Systeme integrieren, um Erkennungsraten zu verbessern und bekannte Command-and-Control-Domains sowie IP-Adressen frühzeitig zu blockieren.
Organisationen und private Nutzer sollten jetzt ihre IoT-Sicherheitsstrategie überprüfen: Firmware von Routern, Kameras, Rekordern und NAS-Systemen regelmäßig aktualisieren, EoL-Geräte konsequent außer Betrieb nehmen, Admin-Oberflächen nicht aus dem Internet erreichbar machen, IoT-Segmente strikt von kritischen Netzen trennen und Herstellerhinweise zu neuen Schwachstellen aktiv verfolgen. Wer diese Basismaßnahmen umsetzt, reduziert die Angriffsfläche deutlich und erschwert es Betreibern von Mirai-ähnlichen Botnetzen wie ShadowV2, alltägliche IoT-Geräte in Werkzeuge massiver DDoS-Attacken zu verwandeln.
