Badacze zajmujący się cyberbezpieczeństwem w laboratoriach FortiGuard Labs firmy Fortinet zidentyfikowali nowy botnet oparty na Mirai, nazwany „ShadowV2”, który prawdopodobnie wykorzystał zamieszanie wokół głównego Awaria AWS-a w październiku w celu przeprowadzenia globalnego testu operacyjnego. Chociaż botnet nie był odpowiedzialny za awarię chmury, jego okno działania idealnie pasowało do czasu przestoju, co sugeruje, że operatorzy wykorzystali moment, aby ocenić swoje możliwości przy ograniczonej widoczności. Szkodnik atakuje w szczególności urządzenia Internetu rzeczy (IoT) takich dostawców, jak D-Link, TP-Link, DD-WRT, DigiEver i TBK, wykorzystując co najmniej osiem znanych luk w zabezpieczeniach w celu naruszenia bezpieczeństwa sprzętu sieciowego.
Najbardziej niepokojącym aspektem kampanii ShadowV2 jest jej poleganie na sprzęcie „zombie” — urządzeniach, które osiągnęły koniec życia (EoL) i nigdy nie zostaną załatane. W szczególności botnet wykorzystuje luki CVE-2024-10914 i CVE-2024-10915, czyli błędy polegające na wstrzykiwaniu poleceń występujące w starszych urządzeniach D-Link. W odpowiedzi na zapytania dotyczące tych usterek firma D-Link potwierdziła, że dla modeli, których dotyczy problem, nie zostaną wydane żadne poprawki, ponieważ nie są one już w fazie rozwoju, co naraża użytkowników na trwałe zagrożenie, chyba że sprzęt zostanie fizycznie wymieniony. Szkodnik wykorzystuje również załataną w wersji beta lukę w urządzeniach TP-Link (CVE-2024-53375) oraz starszą lukę w DD-WRT z 2009 roku.
Analiza techniczna pokazuje, że ataki pochodziły z adresu IP 198[.]199[.]72[.]27, wykorzystując skrypt downloadera do pobrania szkodliwego ładunku z serwera pomocniczego. Szkodnik przedstawiający się jako „ShadowV2 Build v1.0.0 IoT” wykorzystuje konfiguracje zakodowane w formacie XOR w celu maskowania ścieżek systemu plików i wykorzystuje bazę kodu podobną do wariantu Mirai LZRD. Gdy urządzenie zostanie zhakowane, staje się ono częścią botnetu zdolnego do przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS) za pośrednictwem protokołów UDP, TCP i HTTP.
Zakres tego „przebiegu testowego” był szeroki i miał wpływ na sektory, w tym rząd, technologię, produkcję, telekomunikację i edukację w Ameryce Północnej i Południowej, Europie, Afryce, Azji i Australii. Chociaż strategia monetyzacji operatorów pozostaje niejasna, wyrafinowane ukierunkowanie na starszą infrastrukturę, której nie można naprawić, wskazuje na strategię opartą na długoterminowej wytrwałości, a nie na szybkich, oportunistycznych uderzeniach.
