Vairāk nekā 600 000 maršrutētāju ASV aizturējis noslēpumainais kiberuzbrukums

Vairāk nekā 600 000 mazo biroju/mājas biroju (SOHO) maršrutētāju ASV tika padarīti nedarbojami nezināmu uzbrucēju veiktā kiberuzbrukumā, kas daudziem lietotājiem pārtrauca piekļuvi internetam. Šo nozīmīgo notikumu, kas notika no 2023. gada 25. līdz 27. oktobrim, Lumen Technologies Black Lotus Labs komanda nosauca par "Ķirbju aptumsumu". Uzbrukums bija vērsts uz trim konkrētiem maršrutētāju modeļiem — ActionTec T3200, ActionTec T3260 un Sagemcom —, ko nodrošināja neizpaužams interneta pakalpojumu sniedzējs (ISP).

72 stundu uzbrukuma periodā kompromitētie maršrutētāji tika neatgriezeniski bojāti, tādēļ bija nepieciešama aparatūras nomaiņa. Šī incidenta rezultātā tika zaudēti 49% no visiem modemiem, kas saistīti ar ISP autonomās sistēmas numuru (ASN). Lai gan ISP identitāte netika oficiāli apstiprināta, Windstream ir aizdomas, ka ir noticis attiecīgs pārtraukums un lietotāju ziņojumi par ietekmētajiem modemiem, kas rāda "pastāvīgu sarkano gaismu".

Lūmena turpmākajā izmeklēšanā kā uzbrukuma vaininieks tika identificēts preču attālās piekļuves Trojas zirgs (RAT) ar nosaukumu Chalubo. Chalubo, ko Sophos pirmo reizi atzīmēja 2018. gada oktobrī, ir pazīstams ar savu spēju mērķēt uz dažādiem SOHO/IoT kodoliem, veikt DDoS uzbrukumus un izpildīt Lua skriptus. Šķiet, ka uzbrucēji izmantoja Chalubo, lai sarežģītu attiecināšanu, nevis izmantoja pielāgotu rīku. Precīza metode, kas izmantota, lai iegūtu sākotnējo piekļuvi maršrutētājiem, joprojām nav skaidra, lai gan tā var būt saistīta ar vājiem akreditācijas datiem vai atklātām administratīvajām saskarnēm.

Kad piekļuve bija nodrošināta, ļaunprogrammatūra izvietoja čaulas skriptus, lai lejupielādētu un palaistu Chalubo no ārēja servera, tostarp destruktīvu Lua skriptu moduli. Šīs kampaņas fokuss uz vienu ASN ir neparasts, jo lielākā daļa uzbrukumu ir vērsti uz konkrētiem maršrutētāju modeļiem vai izplatītām ievainojamībām, kas liecina par apzinātu un konkrētu mērķi, lai gan uzbrucēju motivācija joprojām nav zināma.

Lumens uzsvēra šī uzbrukuma bezprecedenta mērogu, norādot, ka neviena iepriekšēja incidenta dēļ nav bijis nepieciešams nomainīt vairāk nekā 600 000 ierīču. Salīdzināms notikums bija AcidRain uzbrukums, kas notika pirms aktīva militāra iebrukuma , uzsverot Pumpkin Eclipse incidenta nopietnību un unikālo raksturu.