В США в результате загадочной кибератаки выведено из строя более 600 000 маршрутизаторов

Более 600 000 маршрутизаторов для малых и домашних офисов (SOHO) в США были выведены из строя в результате кибератаки, осуществленной неизвестными злоумышленниками, что нарушило доступ к Интернету для многих пользователей. Это знаменательное событие, произошедшее с 25 по 27 октября 2023 года, команда Lumen Technologies Black Lotus Labs окрестила «Тыквенным затмением». Атака была нацелена на три конкретные модели маршрутизаторов — ActionTec T3200, ActionTec T3260 и Sagemcom, — предоставленные неизвестным поставщиком интернет-услуг (ISP).

В течение 72-часового периода атаки взломанные маршрутизаторы были полностью повреждены, что потребовало замены оборудования. Этот инцидент привел к потере 49% всех модемов, связанных с номером автономной системы (ASN) интернет-провайдера. Хотя личность интернет-провайдера официально не подтверждена, подозревается Windstream из-за соответствующего сбоя и сообщений пользователей о том, что затронутые модемы горят «постоянным красным светом».

Последующее расследование Lumen выявило виновником атаки товарный троян удаленного доступа (RAT) под названием Chalubo. Chalubo, впервые отмеченный Sophos в октябре 2018 года, известен своей способностью атаковать различные ядра SOHO/IoT, выполнять DDoS-атаки и выполнять скрипты Lua. Судя по всему, злоумышленники использовали Чалубо, чтобы усложнить атрибуцию, а не использовали специальный инструмент. Точный метод, использованный для получения первоначального доступа к маршрутизаторам, остается неясным, хотя он мог включать слабые учетные данные или открытые административные интерфейсы.

После того как доступ был обеспечен, вредоносная программа развернула сценарии оболочки для загрузки и запуска Chalubo с внешнего сервера, включая деструктивный модуль сценариев Lua. Акцент этой кампании на одном ASN необычен, поскольку большинство атак нацелены на конкретные модели маршрутизаторов или распространенные уязвимости, что позволяет предположить целенаправленную и конкретную цель, хотя мотивы злоумышленников остаются неизвестными.

Люмен подчеркнул беспрецедентный масштаб этой атаки, отметив, что ни один из предыдущих инцидентов не потребовал замены более 600 000 устройств. Аналогичным событием была атака AcidRain , которая предшествовала активному военному вторжению , подчеркивая серьезность и уникальный характер инцидента «Тыквенное затмение».