ShadowV2 botneti: IoT qurilmalarini zaifliklar orqali egallayotgan yangi xatar
2025-yil oktyabr oyining oxirlarida kiberxavfsizlik sohasida yangi va xavotirli tahdid paydo bo‘ldi. ShadowV2 deb nom olgan ushbu zararli dastur global miqyosdagi AWS uzilishi bilan bir vaqtga to‘g‘ri kelib, o‘z faoliyatini aynan o‘sha davrda boshlab yubordi. Mutaxassislarning fikricha, ushbu kampaniya sinov tariqasidagi “tayyorgarlik bosqichi” bo‘lib, keng ko‘lamli xizmat ko‘rsatish uzilishlariga olib kelish salohiyatiga ega.
IoT qurilmalari — eng qulay nishon
ShadowV2 asosan Internetga ulangan, ammo ko‘pchilik tashkilotlarda yetarli darajada himoyalanmagan IoT qurilmalaridagi zaifliklardan foydalangan. Routerlar, DVR kuzatuv qurilmalari va boshqa kichik, ammo tarmoqqa bevosita ulangan uskunalar ko‘p hollarda muntazam yangilanmaydi. Ana shu holat kiberjinoyatchilar uchun eshikni ochiq qoldiradi.
Fortinet tahlilchilarining ma’lumotiga ko‘ra, ShadowV2 aynan D-Link, TP-Link, DDWRT, DigiEver va TBK kabi ishlab chiqaruvchilarning eski, yamalanmagan zaifliklaridan foydalanib, ulkan botnet to‘rini yaratishga muvaffaq bo‘lgan.
Quyida zararli dastur ekspluatatsiya qilgan zaifliklardan ayrimlari:
| Vendor | CVE ID | Zaiflik tavsifi |
|---|---|---|
| DDWRT | CVE-2009-2765 | HTTP daemon orqali ixtiyoriy buyruq bajarish |
| D-Link | CVE-2020-25506 | CGI orqali kod ijrosi |
| D-Link | CVE-2022-37055 | HNAP modulida buffer overflow |
| D-Link | CVE-2024-10914/10915 | Hisob boshqaruvchisida buyruq injeksiyasi |
| DigiEver | CVE-2023-52163 | Vaqt sozlamalari CGI moduli orqali buyruq ijrosi |
| TBK | CVE-2024-3721 | DVR qurilmalarida buyruq injeksiyasi |
| TP-Link | CVE-2024-53375 | Archer qurilmalari orqali buyruq injeksiyasi |
Bu zaifliklarning aksariyati bir necha yillardan beri mavjud bo‘lib, ko‘plab tashkilotlar tomonidan hanuzgacha yangilanmaganligicha qolmoqda.
Zararla nimalar sodir bo‘ladi? — ShadowV2 qanday ishlaydi
ShadowV2 zararli dastur zanjiri juda sodda, ammo samarali ko‘rinishda ishlaydi:
- Zaif IoT qurilmasi aniqlanadi.
- Qurilma 81.88.18.108 manzilidagi serverdan binary.sh nomli skriptni majburan yuklab oladi.
- Skript qurilmaning arxitekturasini — ARM, MIPS yoki x86 ekanini aniqlaydi.
- So‘ngra mos keladigan ShadowV2 yuklamasini o‘rnatadi.
- Zararli dastur ishga tushgach, boshqaruv serveriga ulanib, botnetning bir bo‘lagi sifatida faoliyat boshlaydi.
ShadowV2 tuzilishi Mirai oilasining “LZRD” variantiga o‘xshash bo‘lsa-da, ayrim jihatlarda undan ham ancha murakkab:
— konfiguratsiya fayllari sodda XOR shifrlash bilan yashirilgan,
— zararli trafikni yashirish uchun soxta User-Agent satrlaridan foydalanilgan,
— jarayonlar /proc/ katalogida yashiriladi,
— juda tez ishlaydigan DDoS funksiyalari ichki identifikatorlar bilan boshqariladi.
Botnetning asosiy hujum imkoniyatlari
ShadowV2 ayniqsa DDoS hujumlarida yuqori samaradorlikka ega bo‘lib, quyidagi vektorlarni qo‘llab-quvvatlaydi:
- UDP flood — tarmoqni trafik bilan to‘ldirish
- TCP SYN flood — server ulanish resurslarini tugatish
- boshqa Mirai oilasiga xos moslashtirilgan hujum shakllari
Ushbu botnetning keng tarqalishi AQSh, Yevropa va Osiyo davlatlarida joylashgan texnologiya, savdo, ta’lim va boshqa yetti turdagi sohalarga sezilarli zarar yetkazgan.
Nega ShadowV2 bu qadar tez tarqaldi?
Buning uch asosiy sababi bor:
1. IoT qurilmalarining muntazam yangilanmasligi
Ko‘plab tashkilotlar router yoki DVR kabi uskunalarga jiddiy e’tibor bermaydi. Ammo aynan mana shu kichik qurilmalar katta botnetlar uchun asosiy nishon hisoblanadi.
2. Zaifliklar yillar davomida ochiq holda qolmoqda
2009-yildan beri yamalanmagan zaifliklar hamon faol ekspluatatsiya qilinmoqda.
3. ShadowV2ning texnik moslashuvchanligi
Har xil arxitekturalarda ishlay olishi uni global miqyosda tarqalishiga imkon yaratadi.
Xulosa: IoT qurilmalari — eng zaif bo‘g‘in
ShadowV2 kampaniyasi yana bir bor shuni ko‘rsatdiki, tashkilotlar o‘z infratuzilmasi ichidagi eng oddiy ko‘rinadigan qurilmalarni ham e’tiborsiz qoldira olmaydi. Bugungi kunda botnetlar xizmat uzilishi, moliyaviy zarar va tarmoq ishdan chiqishiga olib keladigan kuchli qurolga aylandi.
Shuning uchun tashkilotlar:
- IoT qurilmalarini muntazam yangilash,
- keraksiz xizmatlarni o‘chirish,
- tarmoq segmentatsiyasini joriy qilish,
- nosoz xatti-harakatlarni monitoring qilish,
kabi chora-tadbirlarni kechiktirmasliklari zarur.
