Yli 600 000 reititintä USA:ssa salaperäisen kyberhyökkäyksen takia

Yli 600 000 SOHO-reititintä Yhdysvalloissa joutui toimintakelvottomaksi tuntemattomien hyökkääjien suorittamassa kyberhyökkäyksessä, mikä häiritsi monien käyttäjien pääsyä Internetiin. Lumen Technologies Black Lotus Labs -tiimi nimesi tämän merkittävän tapahtuman, joka tapahtui 25. ja 27. lokakuuta 2023, "Pumpkin Eclipse". Hyökkäys kohdistui kolmeen tiettyyn reititinmalliin – ActionTec T3200, ActionTec T3260 ja Sagemcom – jotka toimitti julkistamaton Internet-palveluntarjoaja (ISP).

72 tunnin hyökkäysjakson aikana vaarantuneet reitittimet vaurioituivat pysyvästi, mikä vaati laitteiston vaihtoa. Tämä tapaus johti 49 %:n menettämiseen kaikista Internet-palveluntarjoajan autonomiseen järjestelmänumeroon (ASN) liittyvistä modeemeista. Vaikka Internet-palveluntarjoajan henkilöllisyyttä ei virallisesti vahvistettu, Windstreamin epäillään johtuvan vastaavasta katkoksesta ja käyttäjien raportoimista modeemeista, jotka näyttävät "tasaisesti punaista valoa".

Lumenin myöhemmissä tutkimuksissa tunnistettiin hyökkäyksen syyksi etäkäyttötroijalainen (RAT), Chalubo. Chalubo, jonka Sophos pani merkille lokakuussa 2018, tunnetaan kyvystään kohdistaa erilaisia SOHO/IoT-ytimiä, suorittaa DDoS-hyökkäyksiä ja suorittaa Lua-skriptejä. Näyttää siltä, että hyökkääjät käyttivät Chaluboa hankaloittaakseen tekijän määrittämistä sen sijaan, että he olisivat käyttäneet mukautettua työkalua. Tarkka menetelmä, jolla reitittimiin päästään alustavasti, on edelleen epäselvä, vaikka siihen on saattanut liittyä heikkoja tunnistetietoja tai paljaita hallinnollisia rajapintoja.

Kun pääsy oli suojattu, haittaohjelma otti käyttöön shell-skriptit ladatakseen ja käynnistääkseen Chalubon ulkoiselta palvelimelta, mukaan lukien tuhoava Lua-skriptimoduuli. Tämän kampanjan keskittyminen yhteen ASN:ään on epätavallista, koska useimmat hyökkäykset kohdistuvat tiettyihin reititinmalleihin tai yleisiin haavoittuvuuksiin, mikä viittaa tarkoitukselliseen ja tiettyyn kohteeseen, vaikka hyökkääjien motiivit jäävät tuntemattomiksi.

Lumen korosti tämän hyökkäyksen ennennäkemättömän laajuutta ja huomautti, että mikään aikaisempi tapaus ei ole edellyttänyt yli 600 000 laitteen vaihtamista. Vastaava tapahtuma oli AcidRain- hyökkäys, joka edelsi aktiivista sotilaallista hyökkäystä ja korosti Pumpkin Eclipse -tapahtuman vakavuutta ja ainutlaatuista luonnetta.