Un nouveau botnet basé sur Mirai émerge lors d’une panne AWS

Durant une brève interruption des services AWS en octobre, un nouveau botnet, nommé ShadowV2, a fait surface en exploitant des failles dans des appareils connectés. Cet événement a révélé les vulnérabilités persistantes de nombreux équipements IoT obsolètes. Découvrez comment ce botnet a été détecté et quelles mesures peuvent être prises pour se protéger contre de telles menaces.

Résumé en 3 points

• ShadowV2 est un botnet dérivé de Mirai, identifié lors de la panne AWS d’octobre.
• Il exploite des vulnérabilités connues dans des appareils IoT tels que DD-WRT, D-Link, et TP-Link.
• Des mesures préventives sont nécessaires pour protéger les équipements obsolètes contre de futures attaques.

La découverte de ShadowV2 lors de la panne AWS

La panne mondiale d’AWS en octobre a duré quelques heures, suffisant pour révéler l’existence du botnet ShadowV2. Ce dernier, basé sur l’architecture Mirai, a été repéré par les experts de Fortinet, qui ont pu l’identifier grâce à cette fenêtre temporaire. L’analyse a montré que ShadowV2 n’a pas profité de cette période pour se dissimuler, confirmant une activité limitée mais révélatrice.

Exploitation des vulnérabilités dans les appareils IoT

ShadowV2 s’appuie sur des failles connues dans divers appareils connectés, notamment ceux fabriqués par DD-WRT, D-Link, DigiEver, TBK et TP-Link. Certaines de ces failles, comme celle référencée CVE-2009-2765 pour DD-WRT, sont anciennes et ne bénéficient plus de mises à jour logicielles. Les appareils vulnérables comprennent des routeurs, des NAS et des enregistreurs vidéo, souvent laissés sans surveillance par leurs utilisateurs.

La plupart de ces équipements sont classés en « fin de vie », ce qui signifie que leurs fabricants ne publient plus de correctifs, même lorsque des vulnérabilités sont exploitées publiquement. Cela laisse la porte ouverte à des attaques ciblant ces appareils peu protégés.

Fonctionnement et portée de ShadowV2

ShadowV2 utilise une méthode d’exploitation classique pour l’écosystème Mirai. Une fois qu’une faille est exploitée avec succès, un script bash est téléchargé, permettant d’exécuter plusieurs binaires sur l’appareil compromis. Ces binaires, adaptés à différentes architectures, affichent la mention « ShadowV2 Build v1.0.0 IoT version » une fois activés.

Le botnet peut lancer des attaques DDoS via UDP, TCP et HTTP, ciblant la bande passante et les services critiques. Fortinet a relevé des tentatives d’infection dans une trentaine de pays, démontrant la portée mondiale de ShadowV2, bien que son activité ait été limitée dans le temps.

Prévention et gestion des risques

Pour se protéger contre ShadowV2 et d’autres menaces similaires, il est recommandé de vérifier régulièrement les mises à jour de firmware des équipements IoT à domicile ou en entreprise. En l’absence de mises à jour, le remplacement de l’appareil ou son isolation sur un réseau séparé est conseillé.

Les entreprises doivent tenir un inventaire des équipements et segmenter leurs réseaux pour réduire les risques d’exploitation. La surveillance des communications et la détection précoce des anomalies peuvent également aider à contenir la menace posée par des botnets comme ShadowV2.

Contexte de Mirai et des botnets IoT

Le botnet Mirai a fait ses débuts en 2016, ciblant les appareils IoT mal sécurisés pour lancer des attaques DDoS d’une ampleur sans précédent. Depuis, de nombreuses variantes ont émergé, exploitant les mêmes failles pour compromettre des millions d’appareils à travers le monde. Ces botnets représentent un défi persistant pour les entreprises et les particuliers, soulignant l’importance de maintenir la sécurité des appareils connectés.

ShadowV2 est un exemple de l’évolution continue des menaces dans le domaine de la cybersécurité, nécessitant une vigilance accrue et des stratégies de défense adaptées pour protéger les infrastructures numériques contre les attaques en constante mutation.