Titokzatos kibertámadás több mint 600 000 útválasztót vett el az Egyesült Államokban

Több mint 600 000 kis irodai/otthoni irodai (SOHO) útválasztó vált működésképtelenné az Egyesült Államokban egy ismeretlen támadók által végrehajtott kibertámadás során, ami sok felhasználó internet-hozzáférését megzavarta. Ezt a jelentős eseményt, amely 2023. október 25. és 27. között történt, a Lumen Technologies Black Lotus Labs csapata "Pumpkin Eclipse"-nek nevezte el. A támadás három konkrét útválasztó modellt – az ActionTec T3200-at, az ActionTec T3260-at és a Sagemcom-ot – célozta, amelyeket egy nem titkolt internetszolgáltató (ISP) biztosított.

A 72 órás támadási időszak alatt a kompromittált routerek maradandóan megsérültek, ezért hardvercserére volt szükség. Ez az incidens az internetszolgáltató autonóm rendszerszámához (ASN) társított összes modem 49%-ának elvesztését eredményezte. Noha az internetszolgáltató személyazonosságát hivatalosan nem erősítették meg, a Windstream gyanúja szerint a megfelelő leállás és a felhasználói jelentések szerint az érintett modemek "állandó piros lámpát" mutattak.

A Lumen ezt követő vizsgálata a Chalubo nevű árucikk távoli hozzáférésű trójai programot (RAT) azonosította a támadás elkövetőjeként. A Sophos által 2018 októberében először feljegyzett Chalubo arról ismert, hogy képes különféle SOHO/IoT kerneleket megcélozni, DDoS támadásokat végrehajtani és Lua szkripteket hajt végre. Úgy tűnik, a támadók a Chalubo-t használták a hozzárendelés bonyolítására, nem pedig egyéni eszközt. Az útválasztókhoz való kezdeti hozzáférés pontos módszere továbbra is tisztázatlan, bár lehet, hogy gyenge hitelesítési adatokra vagy szabad adminisztrációs felületekre volt szükség.

Amint a hozzáférés biztosított volt, a rosszindulatú program shell-szkripteket telepített a Chalubo letöltéséhez és elindításához egy külső szerverről, beleértve a destruktív Lua szkriptmodult. Ez a kampány szokatlan, hogy egyetlen ASN-re összpontosít, mivel a legtöbb támadás konkrét útválasztó modelleket vagy gyakori sebezhetőségeket céloz meg, ami szándékos és konkrét célpontra utal, bár a támadók motivációi ismeretlenek.

Lumen kiemelte ennek a támadásnak a példátlan mértékét, és megjegyezte, hogy egyetlen korábbi incidens sem tette szükségessé több mint 600 000 eszköz cseréjét. Hasonló esemény volt az AcidRain támadás, amely egy aktív katonai inváziót előzött meg , hangsúlyozva a Pumpkin Eclipse incidens súlyosságát és egyedi jellegét.