Oltre 600.000 router negli Stati Uniti distrutti da un misterioso attacco informatico

Oltre 600.000 router per piccoli uffici/uffici domestici (SOHO) negli Stati Uniti sono rimasti inutilizzabili a causa di un attacco informatico effettuato da aggressori sconosciuti, interrompendo l'accesso a Internet per molti utenti. Questo evento significativo, avvenuto tra il 25 e il 27 ottobre 2023, è stato soprannominato "Pumpkin Eclipse" dal team Black Lotus Labs di Lumen Technologies. L'attacco ha preso di mira tre modelli di router specifici, ActionTec T3200, ActionTec T3260 e Sagemcom, forniti da un provider di servizi Internet (ISP) non divulgato.

Durante il periodo di attacco di 72 ore, i router compromessi sono stati danneggiati in modo permanente, rendendo necessaria la sostituzione dell'hardware. Questo incidente ha provocato la perdita del 49% di tutti i modem associati al numero di sistema autonomo (ASN) dell'ISP. Anche se l'identità dell'ISP non è stata confermata ufficialmente, si sospetta che Windstream sia dovuta a un'interruzione corrispondente e alle segnalazioni degli utenti di modem interessati che mostrano una "luce rossa fissa".

La successiva indagine di Lumen ha identificato il trojan di accesso remoto (RAT) chiamato Chalubo come colpevole dell'attacco. Chalubo, notato per la prima volta da Sophos nell'ottobre 2018, è noto per la sua capacità di prendere di mira una varietà di kernel SOHO/IoT, eseguire attacchi DDoS ed eseguire script Lua. Sembra che gli aggressori abbiano utilizzato Chalubo per complicare l'attribuzione, anziché utilizzare uno strumento personalizzato. Il metodo esatto utilizzato per ottenere l’accesso iniziale ai router rimane poco chiaro, anche se potrebbe aver coinvolto credenziali deboli o interfacce amministrative esposte.

Una volta garantito l'accesso, il malware ha distribuito script di shell per scaricare e avviare Chalubo da un server esterno, incluso un modulo di script Lua distruttivo. Il focus di questa campagna su un singolo ASN è insolito, poiché la maggior parte degli attacchi prende di mira modelli di router specifici o vulnerabilità comuni, suggerendo un obiettivo deliberato e specifico, sebbene le motivazioni degli aggressori rimangano sconosciute.

Lumen ha sottolineato la portata senza precedenti di questo attacco, sottolineando che nessun incidente precedente ha reso necessaria la sostituzione di oltre 600.000 dispositivi. Un evento paragonabile è stato l’attacco AcidRain , che ha preceduto un’invasione militare attiva , sottolineando la gravità e la natura unica dell’incidente di Pumpkin Eclipse.