रहस्यमय साइबर हमले से अमेरिका में 600,000 से अधिक राउटर बंद

अज्ञात हमलावरों द्वारा किए गए साइबर हमले में अमेरिका में 600,000 से अधिक छोटे कार्यालय/घर कार्यालय (SOHO) राउटर निष्क्रिय हो गए, जिससे कई उपयोगकर्ताओं के लिए इंटरनेट एक्सेस बाधित हो गया। 25 से 27 अक्टूबर, 2023 के बीच हुई इस महत्वपूर्ण घटना को लुमेन टेक्नोलॉजीज ब्लैक लोटस लैब्स टीम ने "पंपकिन एक्लिप्स" नाम दिया है। इस हमले ने तीन विशिष्ट राउटर मॉडल- एक्शनटेक T3200, एक्शनटेक T3260 और सेजमकॉम को निशाना बनाया, जो एक अज्ञात इंटरनेट सेवा प्रदाता (ISP) द्वारा प्रदान किए गए थे।

72 घंटे के हमले की अवधि के दौरान, समझौता किए गए राउटर स्थायी रूप से क्षतिग्रस्त हो गए, जिससे हार्डवेयर प्रतिस्थापन की आवश्यकता हुई। इस घटना के परिणामस्वरूप ISP के स्वायत्त सिस्टम नंबर (ASN) से जुड़े सभी मॉडेम का 49% हिस्सा नष्ट हो गया। जबकि ISP की पहचान की आधिकारिक पुष्टि नहीं की गई थी, विंडस्ट्रीम को इसी तरह की आउटेज और प्रभावित मॉडेम की उपयोगकर्ता रिपोर्ट के कारण "स्थिर लाल बत्ती" प्रदर्शित करने के कारण संदेह है।

ल्यूमेन की बाद की जांच में इस हमले के पीछे अपराधी के रूप में चलुबो नामक कमोडिटी रिमोट एक्सेस ट्रोजन (आरएटी) की पहचान की गई। अक्टूबर 2018 में सोफोस द्वारा पहली बार नोट किए गए चलुबो को विभिन्न प्रकार के SOHO/IoT कर्नेल को लक्षित करने, DDoS हमले करने और Lua स्क्रिप्ट निष्पादित करने की क्षमता के लिए जाना जाता है। ऐसा प्रतीत होता है कि हमलावरों ने कस्टम टूल का उपयोग करने के बजाय, एट्रिब्यूशन को जटिल बनाने के लिए चलुबो का उपयोग किया। राउटर तक प्रारंभिक पहुँच प्राप्त करने के लिए उपयोग की जाने वाली सटीक विधि अभी भी अस्पष्ट है, हालाँकि इसमें कमज़ोर क्रेडेंशियल या उजागर प्रशासनिक इंटरफ़ेस शामिल हो सकते हैं।

एक बार जब पहुँच सुरक्षित हो गई, तो मैलवेयर ने बाहरी सर्वर से चालुबो को डाउनलोड करने और लॉन्च करने के लिए शेल स्क्रिप्ट तैनात की, जिसमें एक विनाशकारी लुआ स्क्रिप्ट मॉड्यूल भी शामिल था। इस अभियान का एक ही ASN पर ध्यान केंद्रित करना असामान्य है, क्योंकि अधिकांश हमले विशिष्ट राउटर मॉडल या सामान्य कमजोरियों को लक्षित करते हैं, जो एक जानबूझकर और विशिष्ट लक्ष्य का सुझाव देते हैं, हालांकि हमलावरों की मंशा अज्ञात रहती है।

ल्यूमेन ने इस हमले के अभूतपूर्व पैमाने पर प्रकाश डाला, यह देखते हुए कि पिछली किसी भी घटना में 600,000 से अधिक उपकरणों को बदलने की आवश्यकता नहीं पड़ी है। एक तुलनीय घटना एसिडरेन हमला था, जो एक सक्रिय सैन्य आक्रमण से पहले हुआ था , जो कद्दू ग्रहण घटना की गंभीरता और अद्वितीय प्रकृति को रेखांकित करता है।