Het Mirai-ecosysteem heeft er een nieuwe variant bij die volgens onderzoekers van Fortinet mogelijk is ingezet als test voor toekomstige grootschalige aanvallen.
De malware, aangeduid als ShadowV2, maakte eind oktober gebruik van een reeks kwetsbaarheden in IoT-apparaten van onder meer D-Link, TP-Link, DigiEver, TBK en DD-WRT. De activiteit viel exact samen met de wereldwijde AWS-storing en stopte ook zodra de storing verholpen was. Hoewel er volgens FortiGuard Labs geen directe relatie bestaat tussen beide incidenten, doet de timing vermoeden dat de aanval bedoeld was als proefoperatie om methoden en infrastructuur te valideren.
ShadowV2 richtte zich op routers, NAS-systemen en DVR’s die bekendstaan om hun lange levensduur en beperkte updatebeleid. Veel getroffen modellen ontvangen geen firmware-updates meer, waardoor ze kwetsbaar blijven voor bekende lekken. De malware verspreidde zich via meerdere exploits en maakte gebruik van een downloader-script dat werd geactiveerd zodra een kwetsbaar apparaat werd aangetroffen.
De payload werd vervolgens opgehaald van een server die eerder in verband werd gebracht met Mirai-varianten. Eenmaal actief identificeert ShadowV2 zich als ShadowV2 Build v1.0.0 IoT version, waarmee Fortinet vermoedt dat het om de eerste volwaardige iteratie van deze specifieke botnetvariant gaat.
Beperkte schaal infecties
De aanvallen werden gedetecteerd in Noord- en Zuid-Amerika, Europa, Afrika, Azië en Australië. Hoewel de schaal van de infectie volgens Fortinet beperkt bleef, toont de spreiding aan dat IoT-richtende botnets nog altijd eenvoudig wereldwijd voet aan de grond krijgen zodra voldoende kwetsbare apparatuur beschikbaar is.
De technische analyse van FortiGuard Labs laat zien dat ShadowV2 nauw verwant is aan de Mirai LZRD-variant. Net als zijn voorgangers maakt het gebruik van XOR-gecodeerde configuraties, hardcoded commando’s en een command-and-controlstructuur die instructies doorstuurt om DDoS-aanvallen uit te voeren.
De malware ondersteunt meerdere aanvalsmethodes via UDP, TCP en HTTP, waaronder varianten die gericht zijn op volumetrische verstoring en service-uitputting. ShadowV2 probeert daarbij eerst een domein te bereiken dat gelinkt is aan de botnetoperator. Indien dat mislukt, schakelt het direct over op een hardcoded IP-adres, waardoor de infrastructuur minder afhankelijk is van DNS.
IoT landschap blijft kwetsbaar
Fortinet benadrukt dat de opkomst van ShadowV2 opnieuw blootlegt hoe kwetsbaar het IoT-landschap blijft. Organisaties blijven vaak afhankelijk van apparatuur die niet langer wordt ondersteund, terwijl deze systemen wel directe netwerktoegang hebben. De onderzoekers verwachten dat ShadowV2 niet op zichzelf staat en dat de operatoren mogelijk werken aan verdere verfijning van hun botnet.