Més de 600.000 encaminadors als EUA enderrocats per un misteriós ciberatac

Més de 600.000 encaminadors d'oficina/oficina a casa (SOHO) als EUA es van deixar inoperables en un ciberatac dut a terme per atacants desconeguts, que va interrompre l'accés a Internet per a molts usuaris. Aquest esdeveniment significatiu, que va tenir lloc entre el 25 i el 27 d'octubre de 2023, va ser batejat com "Pumpkin Eclipse" per l'equip de Lumen Technologies Black Lotus Labs. L'atac es va dirigir a tres models d'encaminador específics: ActionTec T3200, ActionTec T3260 i Sagemcom, proporcionats per un proveïdor de serveis d'Internet (ISP) no revelat.

Durant el període d'atac de 72 hores, els encaminadors compromesos es van danyar permanentment, la qual cosa va necessitar substitucions de maquinari. Aquest incident va provocar la pèrdua del 49% de tots els mòdems associats al número de sistema autònom (ASN) de l'ISP. Tot i que la identitat de l'ISP no es va confirmar oficialment, se sospita de Windstream a causa d'una interrupció corresponent i dels informes dels usuaris dels mòdems afectats que mostren una "llum vermella constant".

La investigació posterior de Lumen va identificar el troià d'accés remot (RAT) anomenat Chalubo com el culpable de l'atac. Chalubo, assenyalat per primera vegada per Sophos l'octubre de 2018, és conegut per la seva capacitat d'orientar una varietat de nuclis SOHO/IoT, realitzar atacs DDoS i executar scripts Lua. Sembla que els atacants van utilitzar Chalubo per complicar l'atribució, en lloc d'utilitzar una eina personalitzada. El mètode exacte utilitzat per obtenir l'accés inicial als encaminadors encara no està clar, tot i que pot haver implicat credencials febles o interfícies administratives exposades.

Un cop assegurat l'accés, el programari maliciós va desplegar scripts d'intèrpret d'ordres per descarregar i llançar Chalubo des d'un servidor extern, inclòs un mòdul d'script Lua destructiu. L'enfocament d'aquesta campanya en un únic ASN és inusual, ja que la majoria dels atacs es dirigeixen a models d'encaminador específics o vulnerabilitats comunes, cosa que suggereix un objectiu deliberat i específic, tot i que les motivacions dels atacants segueixen sent desconegudes.

Lumen va destacar l'escala sense precedents d'aquest atac, assenyalant que cap incident anterior ha requerit la substitució de més de 600.000 dispositius. Un esdeveniment comparable va ser l'atac AcidRain , que va precedir una invasió militar activa , subratllant la gravetat i la naturalesa única de l'incident de l'eclipsi de carbassa.