Mbi 600,000 ruterë në SHBA u rrëzuan nga një sulm kibernetik misterioz
Mbi 600,000 ruterë për zyra/zyre të vogla në shtëpi (SOHO) në SHBA u bënë të pafuqishëm në një sulm kibernetik të kryer nga sulmues të panjohur, duke ndërprerë aksesin në internet për shumë përdorues. Kjo ngjarje e rëndësishme, e cila ndodhi midis 25 dhe 27 tetorit 2023, u quajt "Eclipse Pumpkin" nga ekipi i Lumen Technologies Black Lotus Labs. Sulmi kishte në shënjestër tre modele specifike ruterash - ActionTec T3200, ActionTec T3260 dhe Sagemcom - të ofruara nga një ofrues i pazbuluar i shërbimit të internetit (ISP).
Gjatë periudhës 72-orëshe të sulmit, ruterët e komprometuar u dëmtuan përgjithmonë, duke kërkuar zëvendësimin e harduerit. Ky incident rezultoi në humbjen e 49% të të gjithë modemëve të lidhur me numrin e sistemit autonom të ISP-së (ASN). Ndërsa identiteti i ISP-së nuk u konfirmua zyrtarisht, Windstream dyshohet për shkak të një ndërprerjeje përkatëse dhe raporteve të përdoruesve për modemet e prekur që shfaqin një "dritë të kuqe të qëndrueshme".
Hetimi i mëpasshëm i Lumen identifikoi trojanin e aksesit në distancë (RAT) i quajtur Chalubo si fajtorin pas sulmit. Chalubo, i njohur për herë të parë nga Sophos në tetor 2018, është i njohur për aftësinë e tij për të synuar një sërë bërthamash SOHO/IoT, për të kryer sulme DDoS dhe për të ekzekutuar skriptet Lua. Duket se sulmuesit përdorën Chalubo për të komplikuar atribuimin, në vend që të përdornin një mjet personal. Metoda e saktë e përdorur për të fituar qasje fillestare në ruterat mbetet e paqartë, megjithëse mund të ketë përfshirë kredenciale të dobëta ose ndërfaqe administrative të ekspozuara.
Pasi qasja u sigurua, malware vendosi skriptet e guaskës për të shkarkuar dhe nisur Chalubo nga një server i jashtëm, duke përfshirë një modul skripti shkatërrues Lua. Përqendrimi i kësaj fushate në një ASN të vetme është i pazakontë, pasi shumica e sulmeve synojnë modele specifike ruteri ose dobësi të zakonshme, duke sugjeruar një objektiv të qëllimshëm dhe specifik, megjithëse motivimet e sulmuesve mbeten të panjohura.
Lumen theksoi shkallën e paprecedentë të këtij sulmi, duke vënë në dukje se asnjë incident i mëparshëm nuk ka kërkuar zëvendësimin e mbi 600,000 pajisjeve. Një ngjarje e krahasueshme ishte sulmi AcidRain , i cili i parapriu një pushtimi aktiv ushtarak , duke nënvizuar ashpërsinë dhe natyrën unike të incidentit të Eklipsit të Kungullit.