Нова хвиля загроз для інтернету речей (IoT) зафіксована дослідницькою командою FortiGuard Labs: виявлено ботнет ShadowV2, побудований на базі коду Mirai. Ця інфраструктура з заражених пристроїв орієнтована на масові DDoS-атаки, використовуючи низку відомих уразливостей у продукції D-Link, TP-Link та інших вендорів.
Короткий огляд інциденту: тестовий прогін під час збою AWS
За даними FortiGuard Labs, активність ShadowV2 вперше була зафіксована під час масштабного збою в роботі хмарної платформи AWS у жовтні 2024 року. Ботнет діяв у чітко окреслений часовий проміжок, після чого його трафік зник, що дає підстави розглядати кампанію як обмежений тест інфраструктури перед потенційно ширшими операціями.
Трафік сканування та атак надходив з єдиного IP‑адреси 198[.]199[.]72[.]27 і був спрямований на маршрутизатори, NAS‑сховища та відеореєстратори в різних сегментах мереж. Така вибіркова й координована активність свідчить про заздалегідь сплановане розгортання ботнету, а не про випадкове сканування інтернету.
Які вразливості експлуатує ботнет ShadowV2
ShadowV2 розповсюджується через автоматизоване масове сканування та експлуатацію вже задокументованих CVE‑вразливостей у прошивці IoT‑пристроїв. Оператори ботнету орієнтуються насамперед на обладнання, яке або погано оновлюється, або взагалі втратило підтримку виробника.
Пристрої D-Link: критичні CVE та проблема End-of-Life
Окремий фокус ShadowV2 — обладнання D-Link. Зафіксовано експлуатацію таких вразливостей:
Експлуатовані CVE у пристроях D-Link:
– CVE-2020-25506
– CVE-2022-37055
– CVE-2024-10914
– CVE-2024-10915
Найбільш критичною вважається CVE-2024-10914, що дає змогу віддаленому зловмиснику виконувати довільні команди на застарілих маршрутизаторах D-Link. Компанія офіційно підтвердила, що для частини вразливих моделей оновлення прошивки випускатися не будуть, оскільки ці пристрої мають статус End-of-Life (EoL).
Схожа ситуація спостерігається з CVE-2024-10915. Виробник оновив бюлетень безпеки, додавши новий ідентифікатор CVE та попередження про активність ShadowV2, але пристрої EoL, як і раніше, залишаються без патчів. Фактично такі девайси перетворюються на постійно вразливі вузли в мережі.
TP-Link та інші вендори: розширення поверхні атаки
Ботнет не обмежується екосистемою D-Link. За даними FortiGuard Labs, операторами ShadowV2 використовуються й інші відомі уразливості:
– CVE-2009-2765 — застарілі пристрої на базі прошивки DD-WRT;
– CVE-2023-52163 — відеореєстратори DigiEver;
– CVE-2024-3721 — пристрої TBK;
– CVE-2024-53375 — маршрутизатори TP-Link.
Для уразливості CVE-2024-53375 у роутерах TP-Link вже підготовлено бета-оновлення прошивки. Однак, поки користувачі не встановлять виправлення, такі пристрої залишатимуться доступною мішенню як для ShadowV2, так і для інших Mirai‑подібних ботнетів.
Ланцюжок зараження ShadowV2 та можливості DDoS-ботнету
Архітектурно ShadowV2 нагадує відомий варіант Mirai LZRD. Після успішної експлуатації вразливості на пристрій завантажується скрипт‑завантажувач binary.sh, який отримує основний шкідливий файл (payload) з сервера 81[.]88[.]18[.]108. Далі відбувається закріплення на пристрої та підключення до командно-контрольної інфраструктури.
Скомпрометовані вузли використовуються для організації DDoS-атак за протоколами UDP, TCP та HTTP. Для кожного протоколу реалізовано кілька режимів флуда, що ускладнює побудову ефективних фільтрів трафіку на рівні провайдерів та захисних рішень.
Географія атак ShadowV2 та цільові сектори
FortiGuard Labs зафіксували спроби експлуатації ShadowV2 у 28 країнах, включно з Канадою, США, Мексикою, Бразилією, Чилі, Великою Британією, низкою країн Європи, Росією, Казахстаном, державами Близького Сходу, а також Китаєм, Японією, Тайванем, Філіппінами та Австралією. Такий розподіл є типовим для глобальних IoT-ботнетів, які не обмежуються конкретним регіоном або ринком.
Атаки зачіпають організації щонайменше в семи секторах, зокрема державні установи, технологічні компанії, виробництво, MSSP‑провайдерів, телеком-операторів та освітні заклади. Це підкреслює, що під ударом опиняються не лише домашні користувачі, а й елементи критично важливої корпоративної інфраструктури.
Чому Mirai-подібний ботнет ShadowV2 є критичною загрозою для IoT
Сімейство Mirai вже багато років залишається базою для одних із наймасштабніших DDoS‑кампаній. Попри простоту коду, поєднання великої кількості вразливих IoT-пристроїв та відсутності оновлень дозволяє подібним ботнетам виводити з ладу популярні онлайн‑сервіси, провайдерів та бізнес‑додатки.
Поява ShadowV2 ще раз демонструє системну проблему: застарілі та EoL‑пристрої залишаються в мережах роками, не отримуючи патчів, але продовжуючи виконувати критичні функції. Для операторів ботнетів це ідеальний плацдарм — відомі вразливості, надійні експлойти й відсутність перспективи виправлення помилки виробником.
FortiGuard Labs опублікували індикатори компрометації (IoC), які можуть бути використані фахівцями з інформаційної безпеки для налаштування систем виявлення та блокування атак ShadowV2 на рівні SIEM, IDS/IPS та міжмережевих екранів.
Щоб знизити ризики, організаціям та приватним користувачам доцільно: регулярно оновлювати прошивки роутерів, камер, відеореєстраторів і NAS; своєчасно виводити з експлуатації EoL-пристрої; обмежувати зовнішній доступ до адміністративних панелей; сегментувати мережу, ізолюючи IoT‑зону від критичних систем; стежити за бюлетенями безпеки виробників та аналітикою профільних лабораторій.
ShadowV2 показує, що екосистема інтернету речей і далі залишається одним із найуразливіших компонентів цифрової інфраструктури. Чим активніше організації та користувачі впроваджуватимуть базову гігієну безпеки IoT — оновлення, заміну застарілих пристроїв, сегментацію, моніторинг аномалій, — тим складніше буде операторам Mirai‑подібних ботнетів перетворювати побутові роутери та камери на інструмент масових DDoS‑атак.
