Ponad 600 000 routerów w USA zniszczonych w wyniku tajemniczego cyberataku

Ponad 600 000 routerów dla małych biur/biur domowych (SOHO) w USA przestało działać w wyniku cyberataku przeprowadzonego przez nieznanych napastników, zakłócając dostęp do Internetu wielu użytkownikom. To znaczące wydarzenie, które miało miejsce w dniach 25–27 października 2023 r., zostało nazwane przez zespół Lumen Technologies Black Lotus Labs „Zaćmieniem Dyni”. Celem ataku były trzy konkretne modele routerów – ActionTec T3200, ActionTec T3260 i Sagemcom – dostarczone przez nieujawnionego dostawcę usług internetowych (ISP).

W ciągu 72-godzinnego ataku zaatakowane routery uległy trwałemu uszkodzeniu, co spowodowało konieczność wymiany sprzętu. Incydent ten spowodował utratę 49% wszystkich modemów powiązanych z numerem systemu autonomicznego (ASN) dostawcy usług internetowych. Chociaż tożsamość dostawcy usług internetowych nie została oficjalnie potwierdzona, podejrzewa się Windstream ze względu na odpowiednią awarię i raporty użytkowników dotyczące modemów, których dotyczy problem, wyświetlających „stałe czerwone światło”.

Późniejsze dochodzenie przeprowadzone przez Lumen zidentyfikowało trojana zdalnego dostępu (RAT) o nazwie Chalubo jako sprawcę ataku. Chalubo, zauważone po raz pierwszy przez Sophos w październiku 2018 r., jest znane ze swojej zdolności do atakowania różnych jąder SOHO/IoT, przeprowadzania ataków DDoS i wykonywania skryptów Lua. Wygląda na to, że napastnicy zamiast używać niestandardowego narzędzia, wykorzystali Chalubo do skomplikowania przypisania. Dokładna metoda uzyskania początkowego dostępu do routerów pozostaje niejasna, chociaż mogła obejmować słabe dane uwierzytelniające lub odsłonięte interfejsy administracyjne.

Po zabezpieczeniu dostępu szkodliwe oprogramowanie wdrażało skrypty powłoki w celu pobrania i uruchomienia Chalubo z serwera zewnętrznego, w tym destrukcyjny moduł skryptu Lua. Ta kampania skupia się na pojedynczym ASN, co jest niezwykłe, ponieważ większość ataków atakuje określone modele routerów lub typowe luki w zabezpieczeniach, co sugeruje zamierzony i konkretny cel, chociaż motywacje atakujących pozostają nieznane.

Lumen podkreślił bezprecedensową skalę tego ataku, zauważając, że żadne wcześniejsze incydenty nie wymagały wymiany ponad 600 000 urządzeń. Porównywalnym wydarzeniem był atak AcidRain , który poprzedził aktywną inwazję wojskową , co podkreśliło powagę i wyjątkowy charakter incydentu Pumpkin Eclipse.