Πάνω από 600.000 δρομολογητές στις ΗΠΑ καταργήθηκαν από μυστηριώδη κυβερνοεπίθεση

Περισσότεροι από 600.000 δρομολογητές μικρών γραφείων/οικιακών γραφείων (SOHO) στις ΗΠΑ κατέστησαν ανενεργοί σε μια κυβερνοεπίθεση που πραγματοποιήθηκε από άγνωστους εισβολείς, διακόπτοντας την πρόσβαση στο διαδίκτυο για πολλούς χρήστες. Αυτό το σημαντικό γεγονός, που συνέβη μεταξύ 25 και 27 Οκτωβρίου 2023, ονομάστηκε "Pumpkin Eclipse" από την ομάδα της Lumen Technologies Black Lotus Labs. Η επίθεση στόχευε τρία συγκεκριμένα μοντέλα δρομολογητών—ActionTec T3200, ActionTec T3260 και Sagemcom—που παρέχονται από έναν άγνωστο πάροχο υπηρεσιών Διαδικτύου (ISP).

Κατά τη διάρκεια της περιόδου επίθεσης των 72 ωρών, οι παραβιασμένοι δρομολογητές υπέστησαν μόνιμη ζημιά, απαιτώντας αντικαταστάσεις υλικού. Αυτό το περιστατικό είχε ως αποτέλεσμα την απώλεια του 49% όλων των μόντεμ που σχετίζονται με τον αριθμό αυτόνομου συστήματος (ASN) του ISP. Ενώ η ταυτότητα του ISP δεν επιβεβαιώθηκε επίσημα, η Windstream είναι ύποπτη λόγω αντίστοιχης διακοπής λειτουργίας και αναφορών χρηστών για επηρεαζόμενα μόντεμ που εμφανίζουν "σταθερό κόκκινο φως".

Η μετέπειτα έρευνα του Lumen εντόπισε τον τρόιο απομακρυσμένης πρόσβασης εμπορευμάτων (RAT) που ονομάζεται Chalubo ως τον ένοχο πίσω από την επίθεση. Το Chalubo, που σημειώθηκε για πρώτη φορά από τον Sophos τον Οκτώβριο του 2018, είναι γνωστό για την ικανότητά του να στοχεύει μια ποικιλία πυρήνων SOHO/IoT, να εκτελεί επιθέσεις DDoS και να εκτελεί σενάρια Lua. Φαίνεται ότι οι εισβολείς χρησιμοποίησαν το Chalubo για να περιπλέξουν την απόδοση, αντί να χρησιμοποιήσουν ένα προσαρμοσμένο εργαλείο. Η ακριβής μέθοδος που χρησιμοποιήθηκε για την απόκτηση αρχικής πρόσβασης στους δρομολογητές παραμένει ασαφής, αν και μπορεί να περιλάμβανε αδύναμα διαπιστευτήρια ή εκτεθειμένες διαχειριστικές διεπαφές.

Μόλις εξασφαλιστεί η πρόσβαση, το κακόβουλο λογισμικό ανέπτυξε σενάρια κελύφους για λήψη και εκκίνηση του Chalubo από έναν εξωτερικό διακομιστή, συμπεριλαμβανομένης μιας καταστροφικής μονάδας σεναρίου Lua. Η εστίαση αυτής της καμπάνιας σε ένα μεμονωμένο ASN είναι ασυνήθιστη, καθώς οι περισσότερες επιθέσεις στοχεύουν συγκεκριμένα μοντέλα δρομολογητών ή κοινά τρωτά σημεία, υποδηλώνοντας έναν εσκεμμένο και συγκεκριμένο στόχο, αν και τα κίνητρα των εισβολέων παραμένουν άγνωστα.

Ο Lumen τόνισε την άνευ προηγουμένου κλίμακα αυτής της επίθεσης, σημειώνοντας ότι κανένα προηγούμενο περιστατικό δεν κατέστησε αναγκαία την αντικατάσταση περισσότερων από 600.000 συσκευών. Ένα συγκρίσιμο γεγονός ήταν η επίθεση AcidRain , η οποία προηγήθηκε μιας ενεργού στρατιωτικής εισβολής , υπογραμμίζοντας τη σοβαρότητα και τη μοναδική φύση του περιστατικού Pumpkin Eclipse.