Viac ako 600 000 smerovačov v USA bolo zničených záhadným kybernetickým útokom

Viac ako 600 000 smerovačov pre malé kancelárie/domáce kancelárie (SOHO) v USA sa stalo nefunkčnými v dôsledku kybernetického útoku, ktorý vykonali neznámi útočníci, čo mnohým používateľom narušilo prístup k internetu. Túto významnú udalosť, ku ktorej došlo medzi 25. a 27. októbrom 2023, nazval tím Lumen Technologies Black Lotus Labs „Pumpkin Eclipse“. Útok sa zameral na tri konkrétne modely smerovačov – ActionTec T3200, ActionTec T3260 a Sagemcom – poskytované neznámym poskytovateľom internetových služieb (ISP).

Počas 72-hodinového obdobia útoku boli napadnuté smerovače trvalo poškodené, čo si vyžiadalo výmenu hardvéru. Tento incident mal za následok stratu 49 % všetkých modemov spojených s číslom autonómneho systému (ASN) poskytovateľa internetových služieb. Zatiaľ čo identita ISP nebola oficiálne potvrdená, Windstream je podozrivý kvôli zodpovedajúcemu výpadku a užívateľským hláseniam o postihnutých modemoch, ktoré zobrazujú „stále červené svetlo“.

Následné vyšetrovanie spoločnosti Lumen identifikovalo ako vinníka za útokom komoditný trójsky kôň pre vzdialený prístup (RAT) s názvom Chalubo. Chalubo, prvýkrát zaznamenaný spoločnosťou Sophos v októbri 2018, je známy svojou schopnosťou cieliť na rôzne jadrá SOHO/IoT, vykonávať DDoS útoky a spúšťať skripty Lua. Zdá sa, že útočníci použili Chalubo na skomplikovanie pripisovania namiesto použitia vlastného nástroja. Presná metóda použitá na získanie počiatočného prístupu k smerovačom zostáva nejasná, hoci mohla zahŕňať slabé poverenia alebo odhalené administratívne rozhrania.

Po zabezpečení prístupu malvér nasadil skripty shellu na stiahnutie a spustenie Chalubo z externého servera vrátane deštruktívneho modulu skriptov Lua. Zameranie tejto kampane na jediné ASN je nezvyčajné, pretože väčšina útokov sa zameriava na konkrétne modely smerovačov alebo bežné zraniteľnosti, čo naznačuje zámerný a špecifický cieľ, hoci motivácia útočníkov zostáva neznáma.

Lumen zdôraznil bezprecedentný rozsah tohto útoku a poznamenal, že žiadne predchádzajúce incidenty si nevyžiadali výmenu viac ako 600 000 zariadení. Porovnateľnou udalosťou bol útok AcidRain , ktorý predchádzal aktívnej vojenskej invázii , čo podčiarklo závažnosť a jedinečný charakter incidentu Pumpkin Eclipse.