La fenêtre créée par la panne AWS d’octobre n’a duré que quelques heures, mais elle a suffi pour révéler l’existence d’un nouveau botnet fondé sur l’architecture Mirai. Baptisé ShadowV2, il s’appuie sur une série de failles connues dans l’IoT, dont certaines ne seront jamais corrigées.
ShadowV2 n’a pas mené de campagne longue ni cherché à se cacher derrière une montée progressive de son activité. Selon Fortinet, le botnet n’a été observé que pendant la panne mondiale d’AWS en octobre dernier, soit une fenêtre de tir très étroite, suffisamment nette pour permettre son identification mais trop brève pour évoquer une opération pleinement déployée, sans qu’aucun lien formel ne soit établi pour l’heure entre les deux événements. L’analyse montre un dérivé de Mirai calibré pour exploiter des vulnérabilités déjà connues dans des appareils DD-WRT, D-Link, DigiEver, TBK et TP-Link. Certaines concernent des modèles désormais classés en fin de vie, que leurs fabricants ne mettent plus à jour, même lorsque des preuves d’exploitation circulent publiquement.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un test grandeur nature très abouti
Fortinet décrit ShadowV2 comme une évolution d’une variante Mirai déjà connue, LZRD, adaptée à un parc large d’appareils connectés. Le botnet vise des routeurs, des NAS et des enregistreurs vidéo en exploitant un ensemble de vulnérabilités déjà documentées dans des produits DD-WRT, D-Link, DigiEver, TBK et TP-Link. On y retrouve notamment une faille DD-WRT (CVE-2009-2765) publiée depuis longtemps, plusieurs bugs critiques dans des équipements D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914 et CVE-2024-10915), ainsi qu’une vulnérabilité plus récente affectant certains routeurs Archer de TP-Link (CVE-2024-53375). Au total, huit failles au moins auraient été utilisées pour tenter de prendre le contrôle d’appareils encore largement déployés, mais pas toujours maintenus.
Dans le détail, les capteurs de FortiGuard Labs ont attribué les tentatives d’exploitation à une même adresse IP (198.199.72.27), avec un mode opératoire relativement classique pour l’écosystème Mirai. Une fois la vulnérabilité exploitée, la cible télécharge un script bash chargé de récupérer plusieurs binaires ShadowV2 adaptés à différentes architectures, avant de les exécuter sur l’appareil compromis. Le malware affiche alors la mention ShadowV2 Build v1.0.0 IoT version, un détail qui laisse penser qu’il s’agit de la première déclinaison explicitement orientée vers ce type d’équipements.
Sur le plan technique, ShadowV2 reste fidèle aux habitudes de Mirai. Sa configuration est encodée en XOR et stocke des chemins système, des en-têtes HTTP, des chaînes spécifiques et une liste de user agents qui lui permettent de se fondre dans du trafic ordinaire. Le code établit ensuite une connexion vers un serveur de commande distant, vraisemblablement lié à la même infrastructure que le serveur de téléchargement, chargé d’envoyer des instructions au botnet.
Les capacités offensives de ShadowV2 s’inscrivent elles aussi dans la continuité des botnets Mirai déjà étudiés. Le botnet peut mener des attaques DDoS sur UDP, TCP et HTTP, aussi bien pour saturer la bande passante que pour faire tomber les services ciblés. Fortinet indique avoir observé des tentatives d’infection dans une trentaine de pays en Amérique, en Europe, y compris en France, en Afrique, en Asie et en Océanie, touchant des organisations issues de secteurs aussi divers que les télécoms, la tech, l'industrie, des prestataires de services de sécurité, l’éducation, l’hôtellerie, ainsi que plusieurs administrations. En bref, même limitée à quelques heures, cette activité donne un premier aperçu du terrain visé par ShadowV2 et du type de cibles qu’il cherche à enrôler.
Des vulnérabilités sans correctif qui prolongent la vie des botnets
Derrière ShadowV2, Fortinet pointe surtout un problème de fond. Parmi les vulnérabilités exploitées, certaines ne seront jamais corrigées, en particulier sur des modèles D-Link déjà obsolètes (CVE-2024-10914, CVE-2024-10915).
Alors que faire ? À la maison, vous pouvez commencer par identifier le modèle exact de votre routeur, de votre NAS ou de votre enregistreur, contrôler s’il reçoit encore des mises à jour de firmware, appliquer les dernières versions disponibles et couper l’administration à distance. Quand le fabricant indique que l’équipement est en fin de vie et qu’aucun correctif n’est prévu, la solution passe tôt ou tard par un remplacement, ou au minimum par un cloisonnement sur un réseau séparé, de manière à isoler l’appareil vulnérable du reste des équipements connectés.
En entreprise, le même problème se pose à plus grande échelle, avec des équipements de ce type disséminés dans des sites distants, des salles techniques ou des environnements industriels. Gérer le risque lié à ShadowV2 et à ses successeurs implique de tenir un inventaire des équipements connectés, de suivre leur statut de support, de segmenter le réseau pour éviter qu’un routeur compromis ne serve de tremplin vers des systèmes sensibles, et de surveiller les communications vers des infrastructures associées à des botnets.
Source : Fortinet
