신비한 사이버 공격으로 미국 내 60만 대 이상의 라우터가 다운됨

알 수 없는 공격자가 수행한 사이버 공격으로 인해 미국 내 600,000개 이상의 소규모 사무실/홈 오피스(SOHO) 라우터가 작동하지 않게 되어 많은 사용자의 인터넷 액세스가 중단되었습니다. 2023년 10월 25일부터 27일 사이에 발생한 이 중요한 사건은 Lumen Technologies Black Lotus Labs 팀에서 "Pumpkin Eclipse"라고 명명했습니다. 공격은 비공개 인터넷 서비스 제공업체(ISP)가 제공하는 ActionTec T3200, ActionTec T3260, Sagemcom 등 세 가지 특정 라우터 모델을 표적으로 삼았습니다.

72시간의 공격 기간 동안 손상된 라우터는 영구적으로 손상되어 하드웨어 교체가 필요했습니다. 이 사건으로 인해 ISP의 ASN(자율 시스템 번호)과 관련된 모든 모뎀의 49%가 손실되었습니다. ISP의 신원은 공식적으로 확인되지 않았지만 Windstream은 이에 따른 중단과 영향을 받은 모뎀이 "계속 빨간색 표시등"을 표시한다는 사용자 보고로 인해 의심됩니다.

Lumen의 후속 조사에서는 Chalubo라고 불리는 상용 원격 액세스 트로이 목마(RAT)가 공격의 원인으로 확인되었습니다. 2018년 10월 Sophos가 처음 언급한 Chalubo는 다양한 SOHO/IoT 커널을 표적으로 삼고 DDoS 공격을 수행하며 Lua 스크립트를 실행하는 기능으로 유명합니다. 공격자는 어트리뷰션을 복잡하게 만들기 위해 맞춤형 도구를 사용하는 대신 Chalubo를 사용한 것으로 보입니다. 라우터에 대한 초기 액세스를 얻는 데 사용된 정확한 방법은 취약한 자격 증명이나 노출된 관리 인터페이스와 관련되었을 수 있지만 여전히 불분명합니다.

액세스가 보안되면 악성코드는 파괴적인 Lua 스크립트 모듈을 포함하여 외부 서버에서 Chalubo를 다운로드하고 실행하기 위한 쉘 스크립트를 배포했습니다. 단일 ASN에 대한 이 캠페인의 초점은 이례적입니다. 대부분의 공격은 특정 라우터 모델이나 일반적인 취약점을 표적으로 삼아 고의적이고 구체적인 목표를 암시하지만 공격자의 동기는 아직 알려지지 않았습니다.

Lumen은 이번 공격의 전례 없는 규모를 강조하면서 이전 사건에서 600,000개 이상의 장치를 교체해야 했던 사건은 없었다고 지적했습니다. 유사한 사건으로는 적극적인 군사 침공 이전에 발생한 AcidRain 공격이 있었는데, 이는 Pumpkin Eclipse 사건의 심각성과 고유한 특성을 강조합니다.