ShadowV2 vormt nieuwe dreiging voor kwetsbare IoT-apparaten

In dit artikel:

Beveiligingsonderzoekers van Fortinet hebben een nieuwe Mirai-variant ontdekt, aangeduid als ShadowV2, die eind oktober actief was en mogelijk diende als test voor toekomstige grootschalige aanvallen. De malware misbruikte meerdere kwetsbaarheden in IoT-apparaten van merken als D-Link, TP-Link, DigiEver, TBK en firmware zoals DD-WRT. De activiteit viel precies samen met de wereldwijde AWS-storing en stopte toen die verholpen was; FortiGuard Labs ziet geen directe bewijslast voor een verband, maar noemt de timing verdacht en indicatief voor een proefoperatie.

ShadowV2 richtte zich op routers, NAS’en en DVR’s — toestellen die vaak lang in gebruik blijven en zelden nog firmware-updates krijgen. Na het uitbuiten van lekken voerde een downloader-script de payload binnen, die van een server kwam die al eerder met Mirai-varianten werd gelinkt. De malware meldt zichzelf als ShadowV2 Build v1.0.0 IoT version, wat erop wijst dat dit de eerste volwaardige release van deze tak is.

De besmettingen werden in alle wereldregio’s waargenomen, hoewel het aantal geïnfecteerde machines relatief beperkt bleef. Technisch vertoont ShadowV2 sterke verwantschap met de LZRD-variant van Mirai: XOR-gecodeerde configuraties, hardcoded commando’s, een C2-architectuur en ondersteuning voor diverse DDoS-methodes (UDP, TCP, HTTP), met fallback naar hardcoded IP-adressen als DNS faalt. Fortinet waarschuwt dat het IoT-landschap kwetsbaar blijft en verwacht dat de ontwikkelaars het botnet verder zullen verfijnen. Aanbevolen tegenmaatregelen blijven firmware-updates, netwerksegmentatie en het uitzetten van onnodige externe toegang.