بیش از 600000 روتر در ایالات متحده توسط حمله سایبری مرموز حذف شدند

بیش از 600000 روتر کوچک اداری/دفتر خانگی (SOHO) در ایالات متحده در یک حمله سایبری که توسط مهاجمان ناشناس انجام شد غیرفعال شد و دسترسی به اینترنت را برای بسیاری از کاربران مختل کرد. این رویداد مهم که بین 25 و 27 اکتبر 2023 رخ داد، توسط تیم Lumen Technologies Black Lotus Labs "کسوف کدو حلوایی" نام گرفت. این حمله سه مدل روتر خاص ActionTec T3200، ActionTec T3260 و Sagemcom را هدف قرار داد که توسط یک ارائه دهنده خدمات اینترنتی نامشخص (ISP) ارائه شده بود.

در طول دوره حمله 72 ساعته، روترهای در معرض خطر برای همیشه آسیب دیدند و نیاز به تعویض سخت افزار داشت. این حادثه منجر به از دست دادن 49٪ از تمام مودم های مرتبط با شماره سیستم مستقل ISP (ASN) شد. در حالی که هویت ISP به طور رسمی تأیید نشده است، Windstream به دلیل قطعی متناظر و گزارش‌های کاربر از مودم‌های آسیب‌دیده که «چراغ قرمز ثابت» را نشان می‌دهند مشکوک است.

تحقیقات بعدی Lumen تروجان دسترسی از راه دور کالا (RAT) به نام Chalubo را به عنوان مقصر حمله شناسایی کرد. Chalubo که اولین بار توسط Sophos در اکتبر 2018 مورد توجه قرار گرفت، به دلیل توانایی خود در هدف قرار دادن انواع هسته های SOHO/IoT، انجام حملات DDoS و اجرای اسکریپت های Lua شناخته شده است. به نظر می رسد مهاجمان به جای استفاده از ابزار سفارشی، از Chalubo برای پیچیده کردن انتساب استفاده کرده اند. روش دقیق مورد استفاده برای دستیابی به دسترسی اولیه به روترها نامشخص باقی مانده است، اگرچه ممکن است شامل اعتبارنامه های ضعیف یا واسط های اداری افشا شده باشد.

هنگامی که دسترسی ایمن شد، بدافزار اسکریپت های پوسته را برای دانلود و راه اندازی Chalubo از یک سرور خارجی، از جمله یک ماژول اسکریپت مخرب Lua، مستقر کرد. تمرکز این کمپین بر روی یک ASN غیرعادی است، زیرا اکثر حملات مدل‌های روتر خاص یا آسیب‌پذیری‌های رایج را هدف قرار می‌دهند، که نشان‌دهنده یک هدف عمدی و خاص است، اگرچه انگیزه مهاجمان ناشناخته است.

لومن مقیاس بی‌سابقه این حمله را برجسته کرد و اشاره کرد که هیچ رویداد قبلی نیاز به تعویض بیش از 600000 دستگاه نداشته است. یک رویداد قابل مقایسه، حمله AcidRain بود که قبل از یک تهاجم نظامی فعال انجام شد و بر شدت و ماهیت منحصر به فرد حادثه کدو گرفتگی تاکید کرد.