Daugiau nei 600 000 maršruto parinktuvų JAV užgrobė paslaptinga kibernetinė ataka

Daugiau nei 600 000 mažų biurų / namų biurų (SOHO) maršrutizatorių JAV tapo neveikiančiais per nežinomų užpuolikų įvykdytą kibernetinę ataką, dėl kurios daugeliui vartotojų buvo sutrikdyta interneto prieiga. Šį reikšmingą įvykį, įvykusį 2023 m. spalio 25–27 d., „Lumen Technologies Black Lotus Labs“ komanda pavadino „Pumpkin Eclipse“. Ataka buvo nukreipta į tris konkrečius maršrutizatorių modelius – „ActionTec T3200“, „ActionTec T3260“ ir „Sagemcom“, kuriuos pateikė neatskleistas interneto paslaugų teikėjas (IPT).

Per 72 valandų atakos laikotarpį pažeisti maršrutizatoriai buvo visam laikui sugadinti, todėl reikėjo pakeisti aparatinę įrangą. Dėl šio incidento buvo prarasta 49 % visų modemų, susijusių su IPT autonominės sistemos numeriu (ASN). Nors IPT tapatybė nebuvo oficialiai patvirtinta, „Windstream“ įtariama dėl atitinkamo gedimo ir vartotojų pranešimų apie paveiktus modemus, rodančius „nuolatinę raudoną šviesą“.

Tolesnis Lumen tyrimas nustatė, kad atakos kaltininkas yra nuotolinės prieigos Trojos arklys (RAT), vadinamas Chalubo. „Chalubo“, kurį „Sophos“ pirmą kartą pastebėjo 2018 m. spalį, yra žinomas dėl savo gebėjimo taikyti įvairius SOHO/IoT branduolius, vykdyti DDoS atakas ir vykdyti Lua scenarijus. Atrodo, kad užpuolikai naudojo „Chalubo“, kad apsunkintų priskyrimą, o ne naudojo pasirinktinį įrankį. Tikslus metodas, naudojamas norint gauti pradinę prieigą prie maršrutizatorių, lieka neaiškus, nors tai galėjo būti susiję su silpnais kredencialais arba atviromis administracinėmis sąsajomis.

Kai prieiga buvo apsaugota, kenkėjiška programa įdiegė apvalkalo scenarijus, kad atsisiųstų ir paleistų Chalubo iš išorinio serverio, įskaitant destruktyvų Lua scenarijaus modulį. Šios kampanijos dėmesys vienam ASN yra neįprastas, nes dauguma atakų yra nukreiptos į konkrečius maršrutizatorių modelius arba įprastus pažeidžiamumus, o tai rodo apgalvotą ir konkretų taikinį, nors užpuolikų motyvai lieka nežinomi.

Lumenas pabrėžė precedento neturintį šios atakos mastą ir pažymėjo, kad dėl ankstesnių incidentų nereikėjo pakeisti daugiau nei 600 000 įrenginių. Panašus įvykis buvo AcidRain ataka, įvykusi prieš aktyvią karinę invaziją , pabrėždama Moliūgų užtemimo incidento sunkumą ir unikalų pobūdį.