تمت إزالة أكثر من 600000 جهاز توجيه في الولايات المتحدة بسبب هجوم إلكتروني غامض
أصبح أكثر من 600000 جهاز توجيه للمكاتب الصغيرة/المكاتب المنزلية (SOHO) في الولايات المتحدة غير صالح للعمل في هجوم إلكتروني نفذه مهاجمون مجهولون، مما أدى إلى تعطيل الوصول إلى الإنترنت للعديد من المستخدمين. أطلق فريق Lumen Technologies Black Lotus Labs على هذا الحدث المهم، الذي وقع في الفترة ما بين 25 و27 أكتوبر 2023، اسم "Pumpkin Eclipse". استهدف الهجوم ثلاثة نماذج محددة لأجهزة التوجيه - ActionTec T3200، وActionTec T3260، وSagemcom - مقدمة من مزود خدمة إنترنت (ISP) لم يتم الكشف عنه.
خلال فترة الهجوم التي استمرت 72 ساعة، تعرضت أجهزة التوجيه المخترقة لأضرار دائمة، مما استلزم استبدال الأجهزة. أدى هذا الحادث إلى فقدان 49% من كافة أجهزة المودم المرتبطة برقم النظام المستقل (ASN) الخاص بمزود خدمة الإنترنت. في حين لم يتم تأكيد هوية مزود خدمة الإنترنت رسميًا، إلا أن Windstream مشتبه به بسبب انقطاع الخدمة وتقارير المستخدم عن أجهزة المودم المتأثرة التي تعرض "ضوءًا أحمر ثابتًا".
حدد التحقيق اللاحق الذي أجراه Lumen حصان طروادة للسلعة عن بعد (RAT) المسمى Chalubo باعتباره الجاني وراء الهجوم. يُعرف Chalubo، الذي لاحظته Sophos لأول مرة في أكتوبر 2018، بقدرته على استهداف مجموعة متنوعة من نواة SOHO/IoT، وتنفيذ هجمات DDoS ، وتنفيذ نصوص Lua النصية. ويبدو أن المهاجمين استخدموا Chalubo لتعقيد عملية الإحالة، بدلاً من استخدام أداة مخصصة. لا تزال الطريقة الدقيقة المستخدمة للوصول الأولي إلى أجهزة التوجيه غير واضحة، على الرغم من أنها ربما تضمنت بيانات اعتماد ضعيفة أو واجهات إدارية مكشوفة.
بمجرد تأمين الوصول، قامت البرامج الضارة بنشر نصوص برمجية لتنزيل Chalubo وتشغيله من خادم خارجي، بما في ذلك وحدة نص Lua المدمرة. يعد تركيز هذه الحملة على ASN واحد أمرًا غير معتاد، حيث تستهدف معظم الهجمات نماذج أجهزة توجيه محددة أو نقاط ضعف مشتركة، مما يشير إلى هدف متعمد ومحدد، على الرغم من أن دوافع المهاجمين لا تزال مجهولة.
وسلط لومين الضوء على النطاق غير المسبوق لهذا الهجوم، مشيرًا إلى أنه لم تستلزم أي حوادث سابقة استبدال أكثر من 600 ألف جهاز. كان الحدث المماثل هو هجوم AcidRain ، الذي سبق الغزو العسكري النشط ، مما يؤكد خطورة حادثة Pumpkin Eclipse وطبيعتها الفريدة.