ShadowV2 Botnet Nedir?
Yeni bir Mirai tabanlı botnet zararlısı olan ‘ShadowV2’, D-Link, TP-Link gibi çeşitli IoT cihazlarını hedef alıyor. Bu botnet, bilinen güvenlik açıklarından faydalanarak yayılmakta. Fortinet’in FortiGuard Labs araştırmacıları, ShadowV2’nin faaliyetlerini Ekim ayında meydana gelen büyük AWS kesintisi sırasında tespit etti.
Her ne kadar iki olay arasında doğrudan bir bağlantı bulunmasa da, botnet’in yalnızca kesinti süresince aktif olması, bu durumun bir test çalışması olabileceğini düşündürüyor.
Hedef Alınan Güvenlik Açıkları
ShadowV2, çok sayıda IoT ürününde bulunan en az sekiz güvenlik açığını kullanarak yayıldı:
- DD-WRT (CVE-2009-2765)
- D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915)
- DigiEver (CVE-2023-52163)
- TBK (CVE-2024-3721)
- TP-Link (CVE-2024-53375)
Bu açıklar arasında, CVE-2024-10914, D-Link’in sonlandırılmış cihazlarında kritik bir komut enjeksiyonu açığı olarak dikkat çekmektedir. Şirket, bu sorun için bir düzeltme yayınlamayacağını bildirmiştir.
CVE-2024-10915 ise kullanıcılar için tehlike oluşturan bir başka açık olup, D-Link’in bu model için de bir çözüm sunmayacağı belirtilmiştir.
Yayılma ve Etki Alanları
FortiGuard Labs araştırmacılarına göre, ShadowV2 saldırıları 198[.]199[.]72[.]27 IP adresinden kaynaklanmakta ve hükümet, teknoloji, üretim gibi yedi farklı sektördeki yönlendiriciler, NAS cihazları ve DVR’leri hedef almakta. Saldırılar, Kuzey ve Güney Amerika, Avrupa, Afrika, Asya ve Avustralya gibi farklı bölgelerde global ölçekte gözlemlenmiştir.
Kaynak: Fortinet
ShadowV2’nin Çalışma Prensibi
Malware, “ShadowV2 Build v1.0.0 IoT version” olarak kendini tanımlamakta ve Mirai LZRD varyantıyla benzerlik göstermektedir. Zayıf cihazlara, bir indirme scripti (binary.sh) üzerinden ulaşıyor ve bu script, zararlıyı 81[.]88[.]18[.]108 IP adresinden indirmekte.
ShadowV2’nin işlevsel yetenekleri arasında UDP, TCP ve HTTP protokolleri üzerinden dağıtık hizmet reddi (DDoS) saldırıları gerçekleştirmek var. Komut ve kontrol (C2) altyapısı, botlara saldırıları tetikleyen komutlar göndermekte.
Kaynak: Fortinet
Sonuç ve Öneriler
Genellikle DDoS botnetleri, siber suçlulara güç kiralama veya hedeflerden doğrudan ödeme talep ederek para kazanma yolları arar. Ancak ShadowV2’nin arkasındaki kişiler ve monetizasyon stratejileri henüz bilinmemektedir.
Fortinet, bu yeni tehdidi tanımlamak için bazı ihlal göstergeleri (IoC’ler) paylaşmış ve IoT cihazlarının firmware’lerini güncel tutmanın önemini vurgulamıştır. Kullanıcıların sadece güvenlik açıklarını takip etmekle kalmayıp, aynı zamanda cihazlarının yazılım güncellemelerini düzenli olarak kontrol etmeleri gerekmektedir.
