Исследовательская команда FortiGuard Labs сообщила об обнаружении нового ботнета на базе кода Mirai — ShadowV2. Эта вредоносная сеть заражённых IoT-устройств эксплуатирует как минимум восемь известных уязвимостей в продуктах D-Link, TP-Link и других производителей, превращая бытовые и корпоративные устройства в инструменты для проведения DDoS-атак.
Ботнет ShadowV2: краткий обзор инцидента
По данным FortiGuard Labs, активность ShadowV2 впервые зафиксирована во время крупного сбоя в работе облачной платформы AWS в октябре 2024 года. Примечательно, что ботнет был активен исключительно в период этого инцидента, после чего его трафик исчез. Такой ограниченный по времени запуск исследователи рассматривают как тестовый прогон инфраструктуры перед возможными более масштабными кампаниями.
Атаки исходили с единого IP-адреса 198[.]199[.]72[.]27 и были нацелены на маршрутизаторы, NAS-хранилища и видеорегистраторы в разных сегментах ИТ-инфраструктуры, что указывает на заранее спланированное и целенаправленное развертывание ботнета.
Какие уязвимости эксплуатирует ShadowV2
ShadowV2 распространяется за счёт автоматизированного сканирования сети и эксплуатации уже задокументированных уязвимостей в IoT-устройствах. В список целей входят продукты нескольких производителей.
Устройства D-Link и окончание поддержки
Особое внимание эксперты уделяют уязвимостям в оборудовании D-Link:
Эксплуатируемые CVE в устройствах D-Link:
– CVE-2020-25506
– CVE-2022-37055
– CVE-2024-10914
– CVE-2024-10915
Наиболее критичной признана CVE-2024-10914, позволяющая удалённому злоумышленнику выполнять произвольные команды на устаревших маршрутизаторах D-Link. Производитель официально подтвердил, что для части затронутых моделей патчи выпускаться не будут, так как устройства находятся в статусе End-of-Life (EoL).
Аналогичная ситуация и с уязвимостью CVE-2024-10915: компания обновила ранее опубликованный бюллетень безопасности, добавив новый CVE-идентификатор и выпустив предупреждение об активности ShadowV2. Пользователям ещё раз напомнили, что устройства с завершённым сроком поддержки не получают обновлений прошивки и представляют повышенный риск.
TP-Link и другие производители: расширение поверхности атаки
ShadowV2 не ограничивается лишь D-Link. В перечень эксплуатируемых уязвимостей входят:
– CVE-2009-2765 — устаревшие устройства на базе прошивки DD-WRT;
– CVE-2023-52163 — видеорегистраторы DigiEver;
– CVE-2024-3721 — устройства TBK;
– CVE-2024-53375 — маршрутизаторы TP-Link.
По информации экспертов, для уязвимости CVE-2024-53375 в роутерах TP-Link уже подготовлена бета-версия исправления. Однако, пока обновление не установлено пользователями, такие устройства остаются доступной целью для ShadowV2 и других Mirai-подобных ботнетов.
Техника распространения и функциональность DDoS-ботнета
По структуре ShadowV2 напоминает ранее известный вариант Mirai LZRD. Инфекция происходит через скрипт-загрузчик binary.sh, который после успешной эксплуатации уязвимости подтягивает основной исполняемый файл (payload) с сервера 81[.]88[.]18[.]108. После установки вредонос закрепляется в системе и подключается к управляющей инфраструктуре.
Заражённые устройства используются для проведения DDoS-атак по протоколам UDP, TCP и HTTP. Для каждого протокола реализованы различные типы флуда, что усложняет фильтрацию трафика и повышает эффективность атак. Управляющие серверы отправляют на скомпрометированные устройства команды, формируя распределённые атаки на выбранные цели.
География и отрасли, затронутые атаками ShadowV2
FortiGuard Labs зафиксировали попытки эксплуатации в 28 странах, среди которых Канада, США, Мексика, Бразилия, Чили, Великобритания, страны Европы, Россия, Казахстан, государства Ближнего Востока, а также Китай, Япония, Тайвань, Филиппины и Австралия. Такая география демонстрирует типичный для IoT-ботнетов глобальный охват.
Атаки затронули организации как минимум в семи секторах экономики: государственные учреждения, технологические компании, производственный сектор, MSSP-провайдеры, телекоммуникации и образовательные учреждения. Это подчёркивает, что угрозе подвержены не только домашние пользователи, но и критически важная корпоративная инфраструктура.
Почему новый Mirai-подобный ботнет опасен для IoT-инфраструктуры
Mirai и его многочисленные форки уже много лет остаются одним из главных инструментов для проведения масштабных DDoS-кампаний. Исторические инциденты показывают, что даже относительно простой по коду ботнет может вывести из строя крупные онлайн-сервисы и провайдеров. Появление ShadowV2 подтверждает тенденцию: старые уязвимости и устаревшие устройства продолжают активно эксплуатироваться.
Особую тревогу вызывает тот факт, что часть эксплуатируемых устройств больше не поддерживается производителями. Такие девайсы практически неизбежно превращаются в «точки входа» для ботнетов, если не будут своевременно заменены или надёжно изолированы в сети.
К своему отчёту FortiGuard Labs прилагают индикаторы компрометации (IoC), которые позволяют специалистам по информационной безопасности настраивать системы обнаружения и блокировки атак ShadowV2.
Организациям и частным пользователям рекомендуется:
– регулярно обновлять прошивки роутеров, камер, видеорегистраторов и NAS;
– выводить из эксплуатации устройства со статусом EoL;
– ограничивать доступ к административным панелям с внешних сетей;
– использовать сегментацию сети для отделения IoT от критичных систем;
– отслеживать публикации производителей и отчёты профильных лабораторий о новых уязвимостях.
Появление ShadowV2 ещё раз демонстрирует, что IoT-экосистема остаётся одной из самых уязвимых частей цифровой инфраструктуры. Чем активнее организации и пользователи будут внедрять практики безопасной настройки и своевременного обновления устройств, тем сложнее будет операторам Mirai-подобных ботнетов превращать бытовые роутеры и камеры в оружие массовых DDoS-атак.
