Više od 600 000 usmjerivača u SAD-u oboreno misterioznim kibernetičkim napadom

Više od 600 000 malih ureda/kućnih ureda (SOHO) usmjerivača u SAD-u onesposobljeno je u kibernetičkom napadu koji su izveli nepoznati napadači, prekidajući pristup internetu mnogim korisnicima. Ovaj značajan događaj, koji se dogodio između 25. i 27. listopada 2023., tim Lumen Technologies Black Lotus Labs nazvao je "Pumpkin Eclipse". Napad je bio usmjeren na tri specifična modela usmjerivača — ActionTec T3200, ActionTec T3260 i Sagemcom — koje je osigurao nepoznati davatelj internetskih usluga (ISP).

Tijekom 72-satnog razdoblja napada, kompromitirani usmjerivači bili su trajno oštećeni, što je zahtijevalo zamjenu hardvera. Ovaj incident rezultirao je gubitkom 49% svih modema povezanih s ISP-ovim brojem autonomnog sustava (ASN). Iako identitet ISP-a nije službeno potvrđen, Windstream se sumnja zbog odgovarajućeg prekida i korisničkih izvješća o zahvaćenim modemima koji pokazuju "stalno crveno svjetlo".

Lumenova naknadna istraga identificirala je trojanca za daljinski pristup robi (RAT) pod nazivom Chalubo kao krivca za napad. Chalubo, kojeg je Sophos prvi primijetio u listopadu 2018., poznat je po svojoj sposobnosti ciljanja raznih SOHO/IoT kernela, izvođenja DDoS napada i izvršavanja Lua skripti. Čini se da su napadači koristili Chalubo za kompliciranje atribucije, umjesto da koriste prilagođeni alat. Točna metoda korištena za dobivanje početnog pristupa usmjerivačima ostaje nejasna, iako je možda uključivala slabe vjerodajnice ili izložena administrativna sučelja.

Nakon što je pristup bio osiguran, zlonamjerni softver je implementirao skripte ljuske za preuzimanje i pokretanje Chaluba s vanjskog poslužitelja, uključujući destruktivni Lua skriptni modul. Fokus ove kampanje na jedan ASN je neuobičajen, jer većina napada cilja na specifične modele usmjerivača ili uobičajene ranjivosti, što sugerira namjernu i specifičnu metu, iako motivacija napadača ostaje nepoznata.

Lumen je istaknuo razmjere ovog napada bez presedana, ističući da niti jedan prethodni incident nije zahtijevao zamjenu preko 600.000 uređaja. Usporediv događaj bio je napad AcidRain , koji je prethodio aktivnoj vojnoj invaziji , naglašavajući ozbiljnost i jedinstvenu prirodu incidenta Pumpkin Eclipse.