Více než 600 000 směrovačů v USA bylo zničeno záhadným kybernetickým útokem

Více než 600 000 routerů pro malé kanceláře/domácí kanceláře (SOHO) v USA bylo vyřazeno z provozu v důsledku kybernetického útoku provedeného neznámými útočníky, což mnoha uživatelům narušilo přístup k internetu. Tuto významnou událost, ke které došlo mezi 25. a 27. říjnem 2023, nazval tým Lumen Technologies Black Lotus Labs „Pumpkin Eclipse“. Útok se zaměřoval na tři konkrétní modely směrovačů – ActionTec T3200, ActionTec T3260 a Sagemcom – poskytované nezveřejněným poskytovatelem internetových služeb (ISP).

Během 72hodinového období útoku byly napadené routery trvale poškozeny, což si vyžádalo výměnu hardwaru. Tento incident měl za následek ztrátu 49 % všech modemů spojených s číslem autonomního systému poskytovatele internetových služeb (ASN). Zatímco identita ISP nebyla oficiálně potvrzena, Windstream je podezřelý kvůli odpovídajícímu výpadku a uživatelským hlášením o postižených modemech, které zobrazují „stále červené světlo“.

Následné vyšetřování společnosti Lumen identifikovalo jako viníka útoku komoditní trojan pro vzdálený přístup (RAT) zvaný Chalubo. Chalubo, poprvé zaznamenaný společností Sophos v říjnu 2018, je známý svou schopností cílit na různá SOHO/IoT jádra, provádět DDoS útoky a spouštět skripty Lua. Zdá se, že útočníci použili Chalubo ke zkomplikování atribuce, spíše než aby použili vlastní nástroj. Přesná metoda použitá k získání počátečního přístupu ke směrovačům zůstává nejasná, i když mohla zahrnovat slabé přihlašovací údaje nebo odhalená administrativní rozhraní.

Jakmile byl přístup zajištěn, malware nasadil skripty shellu ke stažení a spuštění Chalubo z externího serveru, včetně destruktivního modulu skriptů Lua. Zaměření této kampaně na jediné ASN je neobvyklé, protože většina útoků se zaměřuje na konkrétní modely routerů nebo běžné zranitelnosti, což naznačuje záměrný a konkrétní cíl, ačkoli motivace útočníků zůstává neznámá.

Lumen zdůraznil bezprecedentní rozsah tohoto útoku a poznamenal, že žádné předchozí incidenty si nevyžádaly výměnu více než 600 000 zařízení. Srovnatelnou událostí byl útok AcidRain , který předcházel aktivní vojenské invazi , což podtrhlo závažnost a jedinečnou povahu incidentu Pumpkin Eclipse.