เราเตอร์กว่า 600,000 ตัวในสหรัฐอเมริกาถูกโจมตีโดยการโจมตีทางไซเบอร์ลึกลับ

เราเตอร์สำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) กว่า 600,000 เครื่องในสหรัฐอเมริกาใช้งานไม่ได้ในการโจมตีทางไซเบอร์ที่ดำเนินการโดยผู้โจมตีที่ไม่รู้จัก ซึ่งขัดขวางการเข้าถึงอินเทอร์เน็ตสำหรับผู้ใช้จำนวนมาก เหตุการณ์สำคัญนี้ซึ่งเกิดขึ้นระหว่างวันที่ 25 ถึง 27 ตุลาคม พ.ศ. 2566 ได้รับการขนานนามว่า "Pumpkin Eclipse" โดยทีมงาน Lumen Technologies Black Lotus Labs การโจมตีกำหนดเป้าหมายเราเตอร์สามรุ่น ได้แก่ ActionTec T3200, ActionTec T3260 และ Sagemcom ซึ่งให้บริการโดยผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ไม่เปิดเผย

ในช่วงระยะเวลาการโจมตี 72 ชั่วโมง เราเตอร์ที่ถูกบุกรุกได้รับความเสียหายอย่างถาวร ทำให้จำเป็นต้องเปลี่ยนฮาร์ดแวร์ เหตุการณ์นี้ส่งผลให้โมเด็มทั้งหมดที่เกี่ยวข้องกับหมายเลขระบบอัตโนมัติ (ASN) ของ ISP สูญเสียไป 49% แม้ว่าการระบุตัวตนของ ISP จะไม่ได้รับการยืนยันอย่างเป็นทางการ แต่ Windstream ก็ต้องสงสัยเนื่องจากการหยุดทำงานที่เกี่ยวข้อง และรายงานผู้ใช้เกี่ยวกับโมเด็มที่ได้รับผลกระทบแสดง "ไฟสีแดงคงที่"

การสอบสวนในเวลาต่อมาของ Lumen ระบุว่าโทรจันการเข้าถึงระยะไกลสำหรับสินค้าโภคภัณฑ์ (RAT) ที่เรียกว่า Chalubo เป็นผู้กระทำผิดที่อยู่เบื้องหลังการโจมตี Chalubo ซึ่งค้นพบครั้งแรกโดย Sophos ในเดือนตุลาคม 2561 เป็นที่รู้จักจากความสามารถในการกำหนดเป้าหมายเคอร์เนล SOHO/IoT ที่หลากหลาย ทำการ โจมตี DDoS และรันสคริปต์ Lua ดูเหมือนว่าผู้โจมตีใช้ Chalubo เพื่อทำให้การระบุแหล่งที่มาซับซ้อน แทนที่จะใช้เครื่องมือที่กำหนดเอง วิธีการที่แน่นอนที่ใช้ในการเข้าถึงเราเตอร์ครั้งแรกยังไม่ชัดเจน แม้ว่าอาจเกี่ยวข้องกับข้อมูลประจำตัวที่อ่อนแอหรืออินเทอร์เฟซผู้ดูแลระบบที่เปิดเผยก็ตาม

เมื่อการเข้าถึงได้รับการรักษาความปลอดภัยแล้ว มัลแวร์จะใช้เชลล์สคริปต์เพื่อดาวน์โหลดและเปิดใช้ Chalubo จากเซิร์ฟเวอร์ภายนอก รวมถึงโมดูลสคริปต์ Lua ที่เป็นการทำลายล้าง การมุ่งเน้นของแคมเปญนี้ไปที่ ASN เดียวนั้นผิดปกติ เนื่องจากการโจมตีส่วนใหญ่จะกำหนดเป้าหมายไปที่เราเตอร์รุ่นเฉพาะหรือช่องโหว่ทั่วไป โดยเสนอแนะเป้าหมายที่จงใจและเฉพาะเจาะจง แม้ว่าแรงจูงใจของผู้โจมตียังไม่ทราบก็ตาม

Lumen เน้นย้ำถึงความรุนแรงของการโจมตีครั้งนี้ที่ไม่เคยเกิดขึ้นมาก่อน โดยสังเกตว่าไม่มีเหตุการณ์ใดเกิดขึ้นก่อนหน้านี้ที่จำเป็นต้องเปลี่ยนอุปกรณ์มากกว่า 600,000 เครื่อง เหตุการณ์ที่เทียบเคียงได้คือการโจมตีของ AcidRain ซึ่ง เกิดขึ้นก่อนการรุกรานของทหาร โดยเน้นย้ำถึงความรุนแรงและลักษณะเฉพาะของเหตุการณ์ Pumpkin Eclipse