- ShadowV2は、Miraiベースのクラウドネイティブボットネットで、AWS障害中に一時的に出現
- 複数のベンダーの脆弱性を利用してIoTデバイスを標的とし、おそらく試運転を実施
- 20カ国以上で発見されており、ShadowV2は再び現れる可能性があり、Miraiの破壊的なDDoSの伝説を彷彿とさせる
悪名高いMiraiを基盤とした別のボットネットが最近野生で確認されましたが、その出現はごく短時間でした ― これは大規模な攻撃の準備段階である可能性を示唆しています。
FortiGuard Labsのセキュリティ研究者によると、ShadowV2という新しいボットネットが最近のAWS障害の間だけ活動していたとされており、存続期間は15時間未満でした。
その間に、複数のメーカー(DD-WRT、D-Link、DigiEver、TBK、TP-Link)の複数の脆弱性を標的とし、ルーター、Wi-Fiアクセスポイント、NASボックス、DVR、ネットワークビデオレコーダーなどのIoT(モノのインターネット)ハードウェアを取り込んだネットワークを構築しました。
Miraiの進化
このボットネットは、Miraiと同様に使用される可能性がありました ― すなわち、分散型サービス拒否(DDoS)攻撃の実行、インターネット上の脆弱なデバイスのスキャン、認証情報のブルートフォース、感染、さらに拡散のための利用などです。
FortiGuard Labsは、この出現は「試運転」に過ぎず、今後このボットネットが再び現れる可能性が高いと考えています。
ShadowV2はクラウドネイティブなボットネットで、以前はAWS EC2インスタンスのみを標的としていました。しかし現在では、テクノロジー、小売、ホスピタリティ、政府、通信など、複数の業界を標的とするよう進化しています。カナダ、米国、英国、中国、ロシア、サウジアラビアなど、世界20カ国以上で発見されています。
現時点では、ShadowV2に感染しているデバイスの数や、ボットネットが現在拡大しているかどうかは不明です。ただし、主にIoTデバイス向けに構築されていることは分かっています。
ShadowV2の試運転の直後、AzureはAisuruボットネットによる「史上最大規模」のクラウドベースDDoS攻撃を受けました。AisuruもMiraiの「子孫」と見なされ、「ターボMirai」と呼ばれることもあります。
Miraiはしばしば「画期的なIoTマルウェア」と呼ばれ、史上最大級かつ最も破壊的なボットネットを生み出し、世界中の主要なウェブサイトやインターネットインフラをオフラインにしたことで悪名高くなりました。
