ABD'de 600.000'den Fazla Yönlendirici Gizemli Siber Saldırıyla Düşürüldü

ABD'de 600.000'den fazla küçük ofis/ev ofis (SOHO) yönlendiricisi, kimliği bilinmeyen saldırganlar tarafından gerçekleştirilen bir siber saldırıda çalışmaz hale getirildi ve birçok kullanıcının internet erişimi kesintiye uğradı. 25-27 Ekim 2023 tarihleri arasında gerçekleşen bu önemli olaya, Lumen Technologies Black Lotus Labs ekibi tarafından "Balkabağı Tutulması" adı verildi. Saldırı, adı açıklanmayan bir internet servis sağlayıcısı (ISP) tarafından sağlanan üç spesifik yönlendirici modelini (ActionTec T3200, ActionTec T3260 ve Sagemcom) hedef aldı.

72 saatlik saldırı süresi boyunca ele geçirilen yönlendiriciler kalıcı hasar gördü ve donanım değişimi gerektirdi. Bu olay, ISP'nin otonom sistem numarasıyla (ASN) ilişkili tüm modemlerin %49'unun kaybına neden oldu. ISP'nin kimliği resmi olarak doğrulanmamış olsa da, ilgili bir kesinti ve etkilenen modemlerin "sabit kırmızı ışık" gösterdiğine dair kullanıcı raporları nedeniyle Windstream'den şüpheleniliyor.

Lumen'in daha sonraki araştırması, saldırının arkasındaki suçlunun Chalubo adlı ticari uzaktan erişim trojanını (RAT) tespit etti. Sophos tarafından ilk kez Ekim 2018'de fark edilen Chalubo, çeşitli SOHO/IoT çekirdeklerini hedefleme, DDoS saldırıları gerçekleştirme ve Lua komut dosyalarını yürütme becerisiyle tanınıyor. Saldırganların özel bir araç kullanmak yerine Chalubo'yu ilişkilendirmeyi karmaşıklaştırmak için kullandığı anlaşılıyor. Yönlendiricilere ilk erişimi sağlamak için kullanılan kesin yöntem henüz belirsizliğini koruyor ancak bu yöntem, zayıf kimlik bilgileri veya açıkta kalan yönetim arayüzlerini içeriyor olabilir.

Erişim güvence altına alındıktan sonra kötü amaçlı yazılım, Chalubo'yu harici bir sunucudan indirmek ve başlatmak için yıkıcı bir Lua komut dosyası modülü de dahil olmak üzere kabuk komut dosyalarını yerleştirdi. Çoğu saldırı belirli yönlendirici modellerini veya yaygın güvenlik açıklarını hedef aldığından, bu kampanyanın tek bir ASN'ye odaklanması alışılmadık bir durum; saldırganların motivasyonları bilinmese de kasıtlı ve spesifik bir hedef öneriliyor.

Lumen, bu saldırının benzeri görülmemiş ölçeğine dikkat çekerek, daha önce yaşanan hiçbir olayın 600.000'den fazla cihazın değiştirilmesini gerektirmediğini belirtti. Benzer bir olay, Balkabağı Tutulması olayının ciddiyetini ve benzersiz doğasını vurgulayan, aktif bir askeri istiladan önce gerçekleşen AsitRain saldırısıydı.