Peste 600.000 de routere din SUA au fost distruse de un misterios atac cibernetic
Peste 600.000 de routere de birou/oficiu de acasă (SOHO) din SUA au fost inoperabile într-un atac cibernetic efectuat de atacatori necunoscuți, perturbând accesul la internet pentru mulți utilizatori. Acest eveniment semnificativ, care a avut loc între 25 și 27 octombrie 2023, a fost numit „Eclipsa de dovleac” de către echipa Lumen Technologies Black Lotus Labs. Atacul a vizat trei modele specifice de router - ActionTec T3200, ActionTec T3260 și Sagemcom - furnizate de un furnizor de servicii de internet (ISP) nedezvăluit.
În timpul perioadei de atac de 72 de ore, routerele compromise au fost deteriorate permanent, necesitând înlocuiri hardware. Acest incident a dus la pierderea a 49% din toate modemurile asociate cu numărul de sistem autonom (ASN) al ISP-ului. Deși identitatea ISP-ului nu a fost confirmată oficial, Windstream este suspectat din cauza unei întreruperi corespunzătoare și a rapoartelor utilizatorilor despre modemurile afectate care afișează o „lumină roșie continuă”.
Investigația ulterioară a Lumen a identificat troianul de acces la distanță (RAT) numit Chalubo ca fiind vinovatul din spatele atacului. Chalubo, observat pentru prima dată de Sophos în octombrie 2018, este cunoscut pentru capacitatea sa de a viza o varietate de nuclee SOHO/IoT, de a efectua atacuri DDoS și de a executa scripturi Lua. Se pare că atacatorii au folosit Chalubo pentru a complica atribuirea, mai degrabă decât să folosească un instrument personalizat. Metoda exactă folosită pentru a obține accesul inițial la routere rămâne neclară, deși este posibil să fi implicat acreditări slabe sau interfețe administrative expuse.
Odată ce accesul a fost securizat, malware-ul a implementat scripturi shell pentru a descărca și lansa Chalubo de pe un server extern, inclusiv un modul de script Lua distructiv. Accentul acestei campanii asupra unui singur ASN este neobișnuit, deoarece majoritatea atacurilor vizează modele de routere specifice sau vulnerabilități comune, sugerând o țintă deliberată și specifică, deși motivațiile atacatorilor rămân necunoscute.
Lumen a subliniat amploarea fără precedent a acestui atac, menționând că niciun incident anterior nu a necesitat înlocuirea a peste 600.000 de dispozitive. Un eveniment comparabil a fost atacul AcidRain , care a precedat o invazie militară activă , subliniind gravitatea și natura unică a incidentului Pumpkin Eclipse.