Meer dan 600.000 routers in de VS uitgeschakeld door mysterieuze cyberaanval

Meer dan 600.000 routers voor kleine kantoren/thuiskantoren in de VS zijn onbruikbaar geworden tijdens een cyberaanval door onbekende aanvallers, waardoor de internettoegang voor veel gebruikers werd verstoord. Deze belangrijke gebeurtenis, die plaatsvond tussen 25 en 27 oktober 2023, werd door het Lumen Technologies Black Lotus Labs-team "Pumpkin Eclipse" genoemd. De aanval was gericht op drie specifieke routermodellen – ActionTec T3200, ActionTec T3260 en Sagemcom – geleverd door een niet bekendgemaakte internetprovider (ISP).

Tijdens de aanvalsperiode van 72 uur raakten de aangetaste routers permanent beschadigd, waardoor hardwarevervanging nodig was. Dit incident resulteerde in het verlies van 49% van alle modems die waren gekoppeld aan het autonome systeemnummer (ASN) van de ISP. Hoewel de identiteit van de ISP niet officieel is bevestigd, wordt Windstream vermoed vanwege een overeenkomstige storing en gebruikersrapporten van getroffen modems die een "constant rood licht" weergeven.

Lumen's daaropvolgende onderzoek identificeerde de commodity remote access trojan (RAT), genaamd Chalubo, als de schuldige achter de aanval. Chalubo, voor het eerst opgemerkt door Sophos in oktober 2018, staat bekend om zijn vermogen om zich op verschillende SOHO/IoT-kernels te richten, DDoS-aanvallen uit te voeren en Lua-scripts uit te voeren. Het lijkt erop dat de aanvallers Chalubo gebruikten om de attributie te compliceren, in plaats van een aangepaste tool te gebruiken. De exacte methode die werd gebruikt om initiële toegang tot de routers te krijgen blijft onduidelijk, hoewel er mogelijk sprake was van zwakke inloggegevens of blootliggende administratieve interfaces.

Nadat de toegang was beveiligd, implementeerde de malware shell-scripts om Chalubo te downloaden en te starten vanaf een externe server, inclusief een destructieve Lua-scriptmodule. De focus van deze campagne op één ASN is ongebruikelijk, aangezien de meeste aanvallen gericht zijn op specifieke routermodellen of veelvoorkomende kwetsbaarheden, wat duidt op een doelbewust en specifiek doelwit, hoewel de motivaties van de aanvallers onbekend blijven.

Lumen benadrukte de ongekende omvang van deze aanval en merkte op dat geen enkel eerder incident de vervanging van meer dan 600.000 apparaten noodzakelijk heeft gemaakt. Een vergelijkbare gebeurtenis was de AcidRain- aanval, die voorafging aan een actieve militaire invasie , wat de ernst en het unieke karakter van het Pumpkin Eclipse-incident onderstreepte.