Lebih 600,000 Penghala di AS Dihapuskan Oleh Serangan Siber Misteri

Lebih 600,000 penghala pejabat kecil/pejabat rumah (SOHO) di AS tidak dapat beroperasi dalam serangan siber yang dilakukan oleh penyerang yang tidak dikenali, mengganggu akses internet untuk ramai pengguna. Peristiwa penting ini, yang berlaku antara 25 dan 27 Oktober 2023, digelar "Gerhana Labu" oleh pasukan Lumen Technologies Black Lotus Labs. Serangan itu menyasarkan tiga model penghala tertentu—ActionTec T3200, ActionTec T3260 dan Sagemcom—yang disediakan oleh penyedia perkhidmatan Internet (ISP) yang tidak didedahkan.

Dalam tempoh serangan 72 jam, penghala yang terjejas telah rosak secara kekal, memerlukan penggantian perkakasan. Insiden ini mengakibatkan kehilangan 49% daripada semua modem yang dikaitkan dengan nombor sistem autonomi (ASN) ISP. Walaupun identiti ISP tidak disahkan secara rasmi, Windstream disyaki disebabkan oleh gangguan yang sepadan dan laporan pengguna modem terjejas yang memaparkan "lampu merah yang stabil."

Siasatan Lumen seterusnya mengenal pasti trojan akses jauh komoditi (RAT) yang dipanggil Chalubo sebagai punca serangan itu. Chalubo, yang pertama kali dikenali oleh Sophos pada Oktober 2018, terkenal dengan keupayaannya untuk menyasarkan pelbagai kernel SOHO/IoT, melakukan serangan DDoS dan melaksanakan skrip Lua. Nampaknya penyerang menggunakan Chalubo untuk merumitkan atribusi, dan bukannya menggunakan alat tersuai. Kaedah tepat yang digunakan untuk mendapatkan akses awal kepada penghala masih tidak jelas, walaupun ia mungkin melibatkan bukti kelayakan yang lemah atau antara muka pentadbiran yang terdedah.

Setelah akses telah dijamin, perisian hasad itu menggunakan skrip shell untuk memuat turun dan melancarkan Chalubo daripada pelayan luaran, termasuk modul skrip Lua yang merosakkan. Tumpuan kempen ini pada satu ASN adalah luar biasa, kerana kebanyakan serangan menyasarkan model penghala tertentu atau kelemahan biasa, mencadangkan sasaran yang disengajakan dan khusus, walaupun motivasi penyerang masih tidak diketahui.

Lumen menyerlahkan skala serangan ini yang tidak pernah berlaku sebelum ini, dengan menyatakan bahawa tiada insiden sebelumnya yang memerlukan penggantian lebih 600,000 peranti. Peristiwa yang setanding ialah serangan AcidRain , yang mendahului pencerobohan tentera yang aktif , menggariskan keparahan dan sifat unik kejadian Gerhana Labu.