Mais de 600.000 Roteadores nos EUA foram Derrubados por um Misterioso Ataque Cibernético

Mais de 600.000 roteadores de pequenos escritórios/escritórios domésticos (SOHO) nos EUA ficaram inoperantes em um ataque cibernético realizado por invasores desconhecidos, interrompendo o acesso à Internet para muitos usuários. Este evento significativo, que ocorreu entre 25 e 27 de outubro de 2023, foi apelidado de “Eclipse da Abóbora” pela equipe do Lumen Technologies Black Lotus Labs. O ataque teve como alvo três modelos específicos de roteadores – ActionTec T3200, ActionTec T3260 e Sagemcom – fornecidos por um provedor de serviços de Internet (ISP) não divulgado.

Durante o período de ataque de 72 horas, os roteadores comprometidos foram permanentemente danificados, necessitando de substituições de hardware. Este incidente resultou na perda de 49% de todos os modems associados ao número de sistema autônomo (ASN) do ISP. Embora a identidade do ISP não tenha sido oficialmente confirmada, a Windstream é suspeita devido a uma interrupção correspondente e relatos de usuários de modems afetados exibindo uma “luz vermelha constante”.

A investigação subsequente da Lumen identificou o trojan de acesso remoto (RAT) chamado Chalubo como o culpado pelo ataque. Chalubo, observado pela primeira vez pela Sophos em outubro de 2018, é conhecido por sua capacidade de atingir uma variedade de kernels SOHO/IoT, realizar ataques de DDoS e executar scripts Lua. Parece que os invasores usaram o Chalubo para complicar a atribuição, em vez de empregar uma ferramenta personalizada. O método exato usado para obter acesso inicial aos roteadores ainda não está claro, embora possa ter envolvido credenciais fracas ou interfaces administrativas expostas.

Depois que o acesso foi garantido, o malware implantou scripts de shell para baixar e iniciar o Chalubo de um servidor externo, incluindo um módulo de script Lua destrutivo. O foco desta campanha em um único ASN é incomum, já que a maioria dos ataques tem como alvo modelos de roteadores específicos ou vulnerabilidades comuns, sugerindo um alvo deliberado e específico, embora as motivações dos atacantes permaneçam desconhecidas.

Lumen destacou a escala sem precedentes deste ataque, observando que nenhum incidente anterior exigiu a substituição de mais de 600.000 dispositivos. Um evento comparável foi o ataque AcidRain, que precedeu uma invasão militar ativa, sublinhando a gravidade e a natureza única do incidente do Pumpkin Eclipse.