Над 600 000 рутера в САЩ са свалени от мистериозна кибератака

Над 600 000 рутера за малък офис/домашен офис (SOHO) в САЩ бяха направени неработещи при кибератака, извършена от неизвестни нападатели, прекъсвайки достъпа до интернет за много потребители. Това значимо събитие, случило се между 25 и 27 октомври 2023 г., беше наречено „Тиквено затъмнение“ от екипа на Lumen Technologies Black Lotus Labs. Атаката беше насочена към три конкретни модела рутери – ActionTec T3200, ActionTec T3260 и Sagemcom – предоставени от неразкрит доставчик на интернет услуги (ISP).

По време на 72-часовия период на атака компрометираните рутери бяха трайно повредени, което наложи хардуерни смени. Този инцидент доведе до загуба на 49% от всички модеми, свързани с номера на автономната система (ASN) на ISP. Докато самоличността на ISP не беше официално потвърдена, Windstream е заподозрян поради съответното прекъсване и потребителски доклади за засегнати модеми, показващи „постоянна червена светлина“.

Последвалото разследване на Lumen идентифицира троянския кон за отдалечен достъп (RAT), наречен Chalubo, като виновник за атаката. Chalubo, отбелязан за първи път от Sophos през октомври 2018 г., е известен със способността си да се насочва към различни SOHO/IoT ядра, да извършва DDoS атаки и да изпълнява Lua скриптове. Изглежда, че нападателите са използвали Chalubo, за да усложнят приписването, вместо да използват персонализиран инструмент. Точният метод, използван за получаване на първоначален достъп до рутерите, остава неясен, въпреки че може да включва слаби идентификационни данни или открити административни интерфейси.

След като достъпът беше осигурен, злонамереният софтуер внедри шел скриптове за изтегляне и стартиране на Chalubo от външен сървър, включително деструктивен скрипт Lua модул. Фокусът на тази кампания върху единичен ASN е необичаен, тъй като повечето атаки са насочени към конкретни модели рутери или често срещани уязвимости, което предполага умишлена и конкретна цел, въпреки че мотивацията на нападателите остава неизвестна.

Lumen подчерта безпрецедентния мащаб на тази атака, отбелязвайки, че нито един предишен инцидент не е наложил подмяната на над 600 000 устройства. Сравнимо събитие беше атаката AcidRain , която предшества активна военна инвазия , подчертавайки сериозността и уникалния характер на инцидента Pumpkin Eclipse.