Skrivnostni kibernetski napad uničil več kot 600.000 usmerjevalnikov v ZDA

Več kot 600.000 usmerjevalnikov za male pisarne/domače pisarne (SOHO) v ZDA je zaradi kibernetskega napada, ki so ga izvedli neznani napadalci, onemogočilo delovanje, kar je mnogim uporabnikom onemogočilo dostop do interneta. Ta pomemben dogodek, ki se je zgodil med 25. in 27. oktobrom 2023, je ekipa Lumen Technologies Black Lotus Labs poimenovala "Pumpkin Eclipse". Napad je bil usmerjen na tri specifične modele usmerjevalnikov – ActionTec T3200, ActionTec T3260 in Sagemcom – ki jih je zagotovil nerazkriti ponudnik internetnih storitev (ISP).

Med 72-urnim obdobjem napada so bili ogroženi usmerjevalniki trajno poškodovani, zaradi česar je bila potrebna zamenjava strojne opreme. Ta incident je povzročil izgubo 49 % vseh modemov, povezanih s številko avtonomnega sistema (ASN) ponudnika internetnih storitev. Medtem ko identiteta ponudnika internetnih storitev ni bila uradno potrjena, je Windstream sumljiv zaradi ustreznega izpada in uporabniških poročil o prizadetih modemih, ki prikazujejo "stalno rdečo luč".

Lumenova kasnejša preiskava je kot krivca za napad odkrila trojanca za daljinski dostop do blaga (RAT), imenovanega Chalubo. Chalubo, ki ga je Sophos prvič opazil oktobra 2018, je znan po svoji sposobnosti ciljanja na različna jedra SOHO/IoT, izvajanja napadov DDoS in izvajanja skriptov Lua. Zdi se, da so napadalci uporabili Chalubo, da bi zapletli pripisovanje, namesto da bi uporabili orodje po meri. Natančna metoda, uporabljena za pridobitev začetnega dostopa do usmerjevalnikov, ostaja nejasna, čeprav je morda vključevala šibke poverilnice ali izpostavljene skrbniške vmesnike.

Ko je bil dostop zavarovan, je zlonamerna programska oprema namestila lupinske skripte za prenos in zagon Chaluba z zunanjega strežnika, vključno z uničujočim skriptnim modulom Lua. Osredotočenost te kampanje na en sam ASN je nenavadna, saj večina napadov cilja na določene modele usmerjevalnikov ali običajne ranljivosti, kar kaže na namerno in specifično tarčo, čeprav motivacija napadalcev ostaja neznana.

Lumen je poudaril obseg tega napada brez primere in opozoril, da zaradi nobenih prejšnjih incidentov ni bilo treba zamenjati več kot 600.000 naprav. Primerljiv dogodek je bil napad AcidRain , ki je bil pred aktivno vojaško invazijo , kar je poudarilo resnost in edinstveno naravo incidenta Pumpkin Eclipse.