יותר מ-600,000 נתבים בארה"ב הוסרו על ידי מתקפת סייבר מסתורית

למעלה מ-600,000 נתבים למשרדים/ביתיים קטנים (SOHO) בארה"ב הפכו לבלתי ניתנים להפעלה במתקפת סייבר שבוצעה על ידי תוקפים לא ידועים, ושיבשה את הגישה לאינטרנט עבור משתמשים רבים. אירוע משמעותי זה, שהתרחש בין 25 ל-27 באוקטובר 2023, זכה לכינוי "Pumpkin Eclipse" על ידי צוות Lumen Technologies Black Lotus Labs. המתקפה כוונה לשלושה דגמי נתב ספציפיים - ActionTec T3200, ActionTec T3260 ו- Sagemcom - שסופקו על ידי ספק שירותי אינטרנט לא ידוע (ISP).

במהלך תקופת ההתקפה של 72 שעות, הנתבים שנפגעו ניזוקו לצמיתות, מה שהצריך החלפת חומרה. תקרית זו הביאה לאובדן של 49% מכל המודמים הקשורים למספר המערכת האוטונומית של ספק שירותי האינטרנט (ASN). למרות שזהות ספקית האינטרנט לא אושרה רשמית, יש חשד ל- Windstream עקב הפסקה מתאימה ודיווחי משתמשים על מודמים מושפעים המציגים "אור אדום קבוע".

החקירה של לומן לאחר מכן זיהתה את הטרויאני הגישה מרחוק (RAT) שנקרא Chalubo כאשם מאחורי המתקפה. Chalubo, שצוינה לראשונה על ידי Sophos באוקטובר 2018, ידועה ביכולתה לכוון למגוון גרעיני SOHO/IoT, לבצע התקפות DDoS ולהפעיל סקריפטים של Lua. נראה שהתוקפים השתמשו ב-Chalubo כדי לסבך את הייחוס, במקום להשתמש בכלי מותאם אישית. השיטה המדויקת ששימשה כדי לקבל גישה ראשונית לנתבים עדיין לא ברורה, אם כי ייתכן שהיא כללה אישורים חלשים או ממשקים ניהוליים חשופים.

לאחר שהגישה אובטחה, התוכנה הזדונית פרסה סקריפטים של מעטפת כדי להוריד ולהפעיל את Chalubo משרת חיצוני, כולל מודול סקריפט הרסני של Lua. ההתמקדות של מסע פרסום זה ב-ASN בודד היא יוצאת דופן, שכן רוב ההתקפות מכוונות לדגמי נתבים ספציפיים או לנקודות תורפה נפוצות, מה שמרמז על מטרה מכוונת וספציפית, אם כי המניעים של התוקפים עדיין לא ידועים.

לומן הדגישה את ההיקף חסר התקדים של מתקפה זו, וציין כי אף תקרית קודמת לא חייבה החלפה של למעלה מ-600,000 מכשירים. אירוע דומה היה מתקפת AcidRain , שקדמה לפלישה צבאית פעילה , המדגישה את חומרת ואופיו הייחודי של תקרית ליקוי הדלעת.