USA-s on salapärase küberrünnaku tõttu alla võetud üle 600 000 ruuteri

Üle 600 000 väikese kontori/kodukontori (SOHO) ruuteri USA-s muudeti tundmatute ründajate toime pandud küberrünnakus töövõimetuks, mis häiris paljude kasutajate juurdepääsu Internetile. Lumen Technologies Black Lotus Labsi meeskond nimetas selle märkimisväärse sündmuse, mis leidis aset 25.–27. oktoobril 2023, "Pumpkin Eclipse". Rünnak oli suunatud kolmele konkreetsele ruuterimudelile – ActionTec T3200, ActionTec T3260 ja Sagemcom –, mille pakkus avalikustamata Interneti-teenuse pakkuja (ISP).

72-tunnise rünnakuperioodi jooksul said ohustatud ruuterid jäädavalt kahjustatud, mistõttu oli vaja riistvara välja vahetada. Selle intsidendi tagajärjel kaotas 49% kõigist Interneti-teenuse pakkuja autonoomse süsteemi numbriga (ASN) seotud modemitest. Kuigi ISP identiteeti ametlikult ei kinnitatud, kahtlustatakse Windstreami vastava katkestuse ja kasutajate aruannete tõttu mõjutatud modemite kohta, mis näitavad "püsivalt punast tuld".

Lumeni hilisem uurimine tuvastas rünnaku süüdlasena kauba kaugjuurdepääsu troojalase (RAT) nimega Chalubo. Chalubo, mille Sophos esmakordselt märkis 2018. aasta oktoobris, on tuntud oma võime poolest sihtida mitmesuguseid SOHO/IoT tuumasid, sooritada DDoS-i rünnakuid ja käivitada Lua skripte. Näib, et ründajad kasutasid Chalubot omistamise keerulisemaks muutmiseks, selle asemel, et kasutada kohandatud tööriista. Täpne meetod, mida ruuteritele esialgse juurdepääsu saamiseks kasutati, jääb ebaselgeks, kuigi see võis hõlmata nõrku mandaate või avatud haldusliideseid.

Kui juurdepääs oli kindlustatud, juurutas pahavara kestaskripte, et laadida alla ja käivitada Chalubo välisest serverist, sealhulgas hävitavast Lua skriptimoodulist. Selle kampaania keskendumine ühele ASN-ile on ebatavaline, kuna enamik rünnakuid on suunatud konkreetsetele ruuterimudelitele või levinud turvaaukudele, mis viitab tahtlikule ja konkreetsele sihtmärgile, kuigi ründajate motiivid jäävad teadmata.

Lumen rõhutas selle rünnaku enneolematut ulatust, märkides, et ükski varasem intsident ei ole nõudnud enam kui 600 000 seadme väljavahetamist. Võrreldav sündmus oli AcidRaini rünnak, mis eelnes aktiivsele sõjalisele invasioonile , rõhutades Pumpkin Eclipse'i juhtumi tõsidust ja ainulaadset olemust.