Over 600.000 routere i USA nedlagt af mystisk cyberangreb

Over 600.000 små kontor/hjemmekontor (SOHO)-routere i USA blev gjort ubrugelige i et cyberangreb udført af ukendte angribere, hvilket forstyrrede internetadgangen for mange brugere. Denne betydningsfulde begivenhed, som fandt sted mellem den 25. og 27. oktober 2023, blev døbt "Pumpkin Eclipse" af Lumen Technologies Black Lotus Labs-teamet. Angrebet var rettet mod tre specifikke routermodeller - ActionTec T3200, ActionTec T3260 og Sagemcom - leveret af en ikke-oplyst internetudbyder (ISP).

I løbet af den 72-timers angrebsperiode blev de kompromitterede routere permanent beskadiget, hvilket nødvendiggjorde hardwareudskiftninger. Denne hændelse resulterede i tab af 49 % af alle modemer forbundet med internetudbyderens autonome systemnummer (ASN). Mens internetudbyderens identitet ikke blev officielt bekræftet, er Windstream mistænkt på grund af et tilsvarende udfald og brugerrapporter om berørte modemer, der viser et "konstant rødt lys."

Lumens efterfølgende undersøgelse identificerede råvare-fjernadgangstrojaneren (RAT) kaldet Chalubo som synderen bag angrebet. Chalubo, første gang noteret af Sophos i oktober 2018, er kendt for sin evne til at målrette en række SOHO/IoT-kerner, udføre DDoS-angreb og udføre Lua-scripts. Det ser ud til, at angriberne brugte Chalubo til at komplicere tilskrivning i stedet for at bruge et tilpasset værktøj. Den nøjagtige metode, der blev brugt til at få indledende adgang til routerne, er stadig uklar, selvom den kan have involveret svage legitimationsoplysninger eller blotlagte administrative grænseflader.

Når adgangen var sikret, implementerede malwaren shell-scripts for at downloade og starte Chalubo fra en ekstern server, inklusive et destruktivt Lua-script-modul. Denne kampagnes fokus på et enkelt ASN er usædvanligt, da de fleste angreb er rettet mod specifikke routermodeller eller almindelige sårbarheder, hvilket tyder på et bevidst og specifikt mål, selvom angribernes motiver forbliver ukendte.

Lumen fremhævede det hidtil usete omfang af dette angreb og bemærkede, at ingen tidligere hændelser har nødvendiggjort udskiftning af over 600.000 enheder. En sammenlignelig begivenhed var AcidRain- angrebet, som gik forud for en aktiv militær invasion , hvilket understregede alvoren og den unikke karakter af Pumpkin Eclipse-hændelsen.