Новый ботнет ShadowV2 атакует IoT-устройства по всему миру
В октябре 2024 года в облаке AWS произошёл крупный сбой, совпавший с появлением нового ботнета ShadowV2, использующего уязвимости IoT-устройств для организации атак. Ботнет, обнаруженный в 28 странах, включая Россию, был связан с DDoS-атаками, а его появление совпало с рекордной атакой на Azure мощностью 15,72 Тбит/с.
В октябре 2024 года, во время масштабного сбоя в облаке AWS, появился новый ботнет ShadowV2, основанный на коде Mirai. По данным The Register, исследователи из FortiGuard Labs оценивают его как потенциальный «тестовый запуск» для будущих атак. Ботнет заражает уязвимые IoT-устройства, формируя сеть, которую злоумышленник может использовать для запуска крупномасштабных атак, включая DDoS.
Распространение и уязвимости
ShadowV2 использует несколько известных уязвимостей, затрагивающих устройства разных производителей. Среди них: DD-WRT (CVE-2009-2765), D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915), DigiEver (CVE-2023-52163), TBK (CVE-2024-3721), TP-Link (CVE-2024-53375). Атакующие внедряют скрипт (binary.sh), который затем доставляет вредоносную нагрузку, предваряемую именем «shadow».
Механизм действия ShadowV2 напоминает LZRD Mirai — он инициализирует XOR-закодированную конфигурацию и подключается к серверу команд и управления. При запуске ботнет выводит строку: ShadowV2 Build v1.0.0 IoT version, что позволяет предположить, что это первая версия, адаптированная под IoT-устройства.
Область воздействия
Новейшая волна атак затронула различные отрасли: технологии, ритейл и гостиничный бизнес, производство, управляемые службы кибербезопасности, государственные структуры, телекоммуникации и образование. Ботнет был обнаружен в 28 странах, включая Канаду, США, Мексику, Бразилию, Великобританию, Нидерланды, Францию, Россию, Казахстан, Китай и Японию.
Важно отметить, что активность ShadowV2 была ограничена периодом сбоя в AWS, однако его появление подчеркивает необходимость усиления мер безопасности IoT-устройств. Fortinet рекомендует регулярно обновлять прошивки, мониторить подозрительный трафик и использовать опубликованные индикаторы компрометации для выявления угроз.
Другие атаки в облаках
Незадолго после появления ShadowV2, Microsoft сообщила о крупнейшей за всю историю DDoS-атаке, направленной на Azure. Атака, исходящая из ботнета Aisuru, достигла мощности 15,72 Тбит/с. Облако Microsoft смогло смягчить угрозу, перехватив почти 3,64 млрд пакетов в секунду 24 октября. Ни одна из рабочих нагрузок клиентов не была нарушена.
Интересно: Каковы риски для бизнеса, если IoT-устройства остаются незащищёнными, а облака подвержены атакам, превышающим предыдущие рекорды?
Угроза из «умных» устройств: когда безопасность становится вопросом выживания
Когда IoT превращается в оружие
С момента появления первого умного устройства, человечество привыкало к идее, что технологии делают жизнь проще. Но с каждым годом становится всё очевиднее: уровень угрозы растёт вместе с количеством подключённых устройств. Ботнет ShadowV2 — это не только очередная атака, а тревожный сигнал о том, что IoT-инфраструктура, если не защищена должным образом, может стать частью глобального кибероружия.
ShadowV2 использует уязвимости в прошивках устройств, которые, как правило, остаются непатченными. Это не из-за недостатка решений, а из-за отсутствия мотивации у производителей и пользователей. Для производителя проще выпустить дешёвое устройство, чем тратить ресурсы на постоянное обновление. Для пользователя — сложнее настроить автоматическое обновление или вовремя сменить пароль. В итоге, эти устройства становятся дешёвыми «солдатами» в армии хакеров.
Важный нюанс: IoT-устройства, даже в частных домах, могут быть использованы для атак на корпоративные и государственные системы. Безопасность одного сегмента — это залог стабильности всей экосистемы.
Облака под ударом: масштабы, которые раньше казались фантастикой
Появление ShadowV2 совпало с крупным сбоем в AWS, а вскоре после этого Microsoft заявила о рекордной по мощности DDoS-атаке на Azure — 15,72 Тбит/с. Это больше, чем всё, что было зафиксировано ранее. Облака, которые считались надёжным убежищем для бизнеса, теперь становятся ареной для атак, масштаб которых превышает даже самые амбициозные прогнозы.
Особенность таких атак в том, что они не направлены на конкретную цель, а используют широкую площадку — от одного облака до другого. Это значит, что даже если у компании есть резервные копии, распределённая инфраструктура и балансировка нагрузки, она всё ещё остаётся уязвимой. Особенно если её клиенты или поставщики используют уязвимые IoT-устройства.
Важный нюанс: Атаки на облака — это не только техническая проблема, но и вопрос доверия. Потеря надёжности у провайдера может привести к утрате клиентов и репутации, что гораздо дороже, чем стоимость восстановления.
Растущая угроза внутри: российские ИТ-инфраструктуры под угрозой
Ситуация в России ухудшается. В 2025 году число ботнет-атак выросло на 34% по сравнению с аналогичным периодом 2024 года, при этом доля вредоносного трафика, исходящего с территории страны, увеличилась с 5% до 39%. Это указывает на то, что российские ИТ-инфраструктуры становятся более заметной мишенью. Особенно остро вопрос стоит в регионе, где зафиксирована пиковая интенсивность вредоносного трафика свыше 100 ГБ/с — в Новосибирской области.
Ботнеты всё чаще используют устройства интернета вещей и маршрутизаторы для кибератак. Эти атаки в основном направлены на телекоммуникационные компании, что свидетельствует о попытках злоумышленников нарушить работу ключевых инфраструктурных секторов. Уязвимость IoT-устройств делает их популярным инструментом для масштабных DDoS-атак, включая те, что исходят из российских регионов [!].
Ускорение атак и роль ИИ
Злоумышленники всё чаще используют автоматизированные инструменты и искусственный интеллект для ускорения атак. Время проникновения в системы сократилось с недель до минут. Это делает скорость и масштабирование атак критически важными факторами. Особенно это касается облаков, где злоумышленники фокусируются на трёх направлениях: получении начального доступа, обеспечении постоянного присутствия и краже учетных данных. AWS, как одна из ведущих платформ, сталкивается с атаками, использующими готовые скрипты и автоматизированные инструменты [!].
Что делать бизнесу: от реагирования к профилактике
Для российских компаний, особенно тех, кто активно использует IoT-устройства и облачные сервисы, ситуация требует внимания. В условиях, когда уязвимости становятся частью глобального арсенала киберпреступности, важно перейти от пассивного наблюдения к активной защите.
- Обновления прошивок — не роскошь, а необходимость. Особенно для устройств, которые работают в открытом доступе или подключены к интернету.
- Мониторинг трафика — позволяет выявлять подозрительную активность на ранних стадиях.
- Интеграция с ИБ-платформами — автоматизированный анализ угроз и индикаторов компрометации (IOC) может снизить время реакции.
- Резервирование и изоляция — если атака всё-таки произойдёт, важно, чтобы критические данные и сервисы оставались доступны.
Важный вывод: Безопасность IoT и облаков — это не только защита от атак, это стратегическое преимущество, которое может определить будущее бизнеса в условиях растущих угроз.
Источник: The Register
