Över 600 000 routrar i USA togs ner av mystisk cyberattack

Över 600 000 routrar för små kontor/hemmakontor (SOHO) i USA gjordes obrukbara i en cyberattack utförd av okända angripare, vilket störde internetåtkomsten för många användare. Denna betydelsefulla händelse, som inträffade mellan den 25 och 27 oktober 2023, kallades "Pumpkin Eclipse" av Lumen Technologies Black Lotus Labs-team. Attacken riktade sig mot tre specifika routermodeller – ActionTec T3200, ActionTec T3260 och Sagemcom – som tillhandahålls av en hemlig internetleverantör (ISP).

Under den 72 timmar långa attackperioden skadades de komprometterade routrarna permanent, vilket krävde hårdvarubyten. Denna incident resulterade i att 49 % av alla modem associerade med ISP:s autonoma systemnummer (ASN) försvann. Även om ISP:s identitet inte bekräftades officiellt, misstänks Windstream på grund av ett motsvarande avbrott och användarrapporter om påverkade modem som visar ett "fast rött ljus".

Lumens efterföljande undersökning identifierade råvaru-fjärråtkomsttrojanen (RAT) kallad Chalubo som boven bakom attacken. Chalubo, som först noterades av Sophos i oktober 2018, är känd för sin förmåga att rikta in sig på en mängd olika SOHO/IoT-kärnor, utföra DDoS-attacker och exekvera Lua-skript. Det verkar som att angriparna använde Chalubo för att komplicera tillskrivning, snarare än att använda ett anpassat verktyg. Den exakta metoden som användes för att få initial åtkomst till routrarna är fortfarande oklart, även om den kan ha involverat svaga referenser eller exponerade administrativa gränssnitt.

När åtkomsten var säker, distribuerade skadlig programvara skalskript för att ladda ner och starta Chalubo från en extern server, inklusive en destruktiv Lua-skriptmodul. Kampanjens fokus på ett enda ASN är ovanligt, eftersom de flesta attacker riktar sig mot specifika routermodeller eller vanliga sårbarheter, vilket tyder på ett avsiktligt och specifikt mål, även om angriparnas motiv förblir okända.

Lumen lyfte fram den oöverträffade omfattningen av denna attack, och noterade att inga tidigare incidenter har gjort det nödvändigt att byta ut över 600 000 enheter. En jämförbar händelse var AcidRain -attacken, som föregick en aktiv militär invasion , vilket underströk svårighetsgraden och den unika karaktären av Pumpkin Eclipse-incidenten.