La récente panne d’AWS a révélé l’existence d’une nouvelle menace cybernétique. ShadowV2, un botnet dérivé de Mirai, a profité de cette fenêtre pour tester ses capacités sur des routeurs obsolètes. Une incursion qui met en lumière la vulnérabilité persistante de nombreux appareils connectés à Internet.
L’essentiel à retenir
- ShadowV2 est un nouveau botnet basé sur Mirai, observé lors de la panne AWS d’octobre.
- Il exploite des vulnérabilités connues dans divers équipements IoT, ciblant notamment des appareils en fin de vie.
- Des attaques ont été détectées dans une trentaine de pays, touchant divers secteurs industriels.
Origine et découverte de ShadowV2
La découverte de ShadowV2 est survenue lors de la panne mondiale d’AWS en octobre dernier. Bien que cette interruption n’ait duré que quelques heures, elle a permis à Fortinet de détecter l’activité de ce botnet, qui n’a pas cherché à dissimuler ses mouvements. ShadowV2 utilise l’architecture bien connue de Mirai pour exploiter des failles déjà identifiées dans plusieurs marques de routeurs et équipements IoT, notamment DD-WRT, D-Link et TP-Link.
Vulnérabilités exploitées par le botnet
ShadowV2 cible des vulnérabilités présentes dans des appareils souvent classés en fin de vie, pour lesquels les fabricants ne proposent plus de mises à jour. Parmi les failles exploitées, on trouve notamment la CVE-2009-2765 pour DD-WRT et plusieurs autres concernant D-Link et TP-Link. Ces faiblesses permettent au botnet de prendre le contrôle des appareils en téléchargeant et exécutant des binaires spécifiques à chaque architecture.
Techniques et impacts des attaques
Sur le plan technique, ShadowV2 reste fidèle aux méthodes de Mirai, en utilisant un encodage XOR pour sa configuration et en établissant des connexions avec un serveur de commande distant. Les attaques menées par le botnet incluent des attaques DDoS sur les protocoles UDP, TCP et HTTP, visant à saturer les ressources des cibles. Fortinet a observé des tentatives d’infection dans 30 pays, affectant divers secteurs tels que les télécommunications, la tech, l’éducation et l’industrie.
Comment se protéger de ShadowV2
Pour se prémunir contre les attaques de ShadowV2, il est recommandé de vérifier si vos appareils reçoivent encore des mises à jour de firmware. En cas d’obsolescence, le remplacement des équipements ou leur isolation sur un réseau séparé est conseillé. Pour les entreprises, il est essentiel de maintenir un inventaire des équipements connectés, de segmenter le réseau et de surveiller les communications suspectes.
Historique du botnet Mirai
Le botnet Mirai a fait surface en 2016, se distinguant par sa capacité à infecter des appareils IoT mal sécurisés pour mener des attaques DDoS massives. En quelques mois, il a compromis des centaines de milliers d’appareils à travers le monde, perturbant de nombreux services en ligne. Depuis, plusieurs variantes de Mirai ont émergé, chacune exploitant de nouvelles failles et adaptant leurs techniques pour continuer à menacer les infrastructures numériques. ShadowV2 s’inscrit dans cette lignée, utilisant les enseignements de ses prédécesseurs pour cibler des dispositifs vieillissants et souvent négligés.