Все думали, это сбой AWS, а это была репетиция кибератаки на 28 стран мира с участием вашего роутера

Во время масштабного сбоя AWS в октябре специалисты Fortinet обнаружили новый ботнет ShadowV2, основанный на вредоносном коде Mirai и нацеленный на IoT-устройства по всему миру. По оценке FortiGuard Labs, кампания выглядела как «пробный прогон» перед возможными более крупными атаками, но даже этого однодневного эпизода оказалось достаточно, чтобы показать, насколько уязвимы интернет-вещи в разных отраслях и странах.

ShadowV2 заражает уязвимые устройства и превращает их в «зомби» — подконтрольный оператору ботнет, который можно использовать для масштабных атак, прежде всего для DDoS-флудов. Во время октябрьского сбоя AWS вредонос оказался активен лишь в течение примерно суток, но за это время успел распространиться по целому набору уязвимостей в оборудовании разных производителей. Среди них Fortinet перечисляет DD-WRT (CVE-2009-2765), D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915), DigiEver (CVE-2023-52163), TBK (CVE-2024-3721) и TP-Link (CVE-2024-53375).

Отдельной интригой остаётся масштаб инцидента: Fortinet пока не раскрывает, сколько устройств ShadowV2 успел подчинить, и обещает поделиться деталями позже. Известно, что до этого, в сентябре, облачный ботнет уже использовали против AWS EC2 — тогда он был нацелен на облачные инстансы. В октябре же ShadowV2 переключился на IoT и ударил сразу по нескольким секторам: технологическим компаниям, ритейлу и гостиничному бизнесу, производству, MSSP, госструктурам, телекомам и образовательным организациям. Под удар попали 28 стран, от США, Канады и Мексики до России, Казахстана, Китая, Японии, стран Европы, Ближнего Востока, Африки и Австралии.

Технически атака выглядела достаточно типично для Mirai-подобных семейств, но с рядом особенностей. Злоумышленники эксплуатировали известные баги в прошивках, чтобы загрузить на устройства скрипт-загрузчик binary.sh. Тот в свою очередь подтягивал основные бинарники ShadowV2 (файлы с префиксом "shadow") с сервера 81[.]88[.]18[.]108. В Fortinet отмечают схожесть с вариантом LZRD: вредонос инициализирует XOR-кодированную конфигурацию, подключается к серверу управления и ждёт команд — в том числе для запуска DDoS-атак.

При запуске ShadowV2 выводит строку "ShadowV2 Build v1.0.0 IoT version". В Fortinet отметили, что, судя по этому маркеру, речь может идти о первой версии ветки, специально разработанной для IoT-устройств. То есть увиденная кампания вполне может быть лишь тестом инфраструктуры перед более агрессивными и продолжительными операциями.

Пока что известно только об активности ShadowV2 во время октябрьского сбоя AWS, но сам инцидент напомнил индустрии о старой проблеме: миллиарды устройств с устаревшей прошивкой и открытыми портами остаются идеальной базой для ботнетов. Fortinet опубликовала список индикаторов компрометации и рекомендует администраторам обновить прошивки, закрыть лишние сервисы и внимательно следить за аномальным и «спамным» трафиком в сети. По словам специалистов, история с ShadowV2 вновь показала, что IoT остаётся слабым звеном в глобальной кибербезопасности.

Почти сразу после «пробного» выхода ShadowV2 в сеть Microsoft сообщила о другой крупной атаке — уже на Azure. По данным компании, 24 октября её инфраструктура выдержала «крупнейшую в истории» облачную DDoS-атаку мощностью 15,72 Тбит/с, запущенную с ботнета Aisuru. Защитные механизмы Azure сумели поглотить лавину из почти 3,64 млрд пакетов в секунду, и, по заверениям Microsoft, клиенты не ощутили перебоев в работе. На этом фоне появление нового Mirai-подобного ботнета, пусть и в формате короткой «репетиции», выглядит дополнительным предупреждением: следующий раз удар может быть сильнее и придётся уже не так вовремя.