Преко 600.000 рутера у САД оборено мистериозним сајбер нападом

Преко 600.000 рутера малих канцеларија/кућних канцеларија (СОХО) у САД је постало нефункционално у сајбер нападу који су извели непознати нападачи, ометајући приступ интернету за многе кориснике. Овај значајан догађај, који се догодио између 25. и 27. октобра 2023. године, тим Лумен Тецхнологиес Блацк Лотус Лабс је назвао „Пумпкин Ецлипсе“. Напад је био усмерен на три специфична модела рутера — АцтионТец Т3200, АцтионТец Т3260 и Сагемцом — које је обезбедио неоткривени провајдер интернет услуга (ИСП).

Током 72-часовног периода напада, компромитовани рутери су трајно оштећени, што је захтевало замену хардвера. Овај инцидент је резултирао губитком 49% свих модема повезаних са бројем аутономног система (АСН) ИСП-а. Иако идентитет ИСП-а није званично потврђен, Виндстреам се сумња због одговарајућег прекида рада и корисничких извештаја о погођеним модемима који приказују „стално црвено светло“.

Луменова накнадна истрага идентификовала је тројанца за даљински приступ роби (РАТ) под називом Цхалубо као кривца за напад. Цхалубо, који је Сопхос први приметио у октобру 2018, познат је по својој способности да циља различите СОХО/ИоТ кернеле, изводи ДДоС нападе и извршава Луа скрипте. Чини се да су нападачи користили Цхалубо да компликују атрибуцију, уместо да користе прилагођени алат. Тачан метод који се користи за добијање почетног приступа рутерима остаје нејасан, иако је можда укључивао слабе акредитиве или изложене административне интерфејсе.

Када је приступ био обезбеђен, малвер је применио схелл скрипте за преузимање и покретање Цхалубо-а са спољног сервера, укључујући деструктивни модул Луа скрипте. Фокус ове кампање на једном АСН-у је неуобичајен, јер већина напада циља специфичне моделе рутера или уобичајене рањивости, што сугерише намерну и специфичну мету, иако мотивације нападача остају непознате.

Лумен је истакао невиђене размере овог напада, истичући да ниједан претходни инцидент није захтевао замену преко 600.000 уређаја. Сличан догађај био је напад АцидРаин-а , који је претходио активној војној инвазији , наглашавајући озбиљност и јединствену природу инцидента Помрачење бундеве.