Понад 600 000 маршрутизаторів у США знищено таємничою кібератакою

Понад 600 000 маршрутизаторів для малих офісів/домашніх офісів (SOHO) у США були виведені з ладу в результаті кібератаки, здійсненої невідомими зловмисниками, порушивши доступ до Інтернету для багатьох користувачів. Цю знаменну подію, яка сталася з 25 по 27 жовтня 2023 року, команда Lumen Technologies Black Lotus Labs назвала «Гарбузове затемнення». Атака була спрямована на три конкретні моделі маршрутизаторів — ActionTec T3200, ActionTec T3260 і Sagemcom, надані невідомим постачальником послуг Інтернету (ISP).

Протягом 72-годинного періоду атаки скомпрометовані маршрутизатори були остаточно пошкоджені, що потребувало заміни апаратного забезпечення. Цей інцидент призвів до втрати 49% усіх модемів, пов’язаних із номером автономної системи (ASN) провайдера. Хоча особу інтернет-провайдера офіційно не підтверджено, Windstream підозрюється через відповідний збій і повідомлення користувачів про модеми, які постраждали від «постійного червоного світла».

Подальше розслідування Lumen виявило троян віддаленого доступу до товарів (RAT) під назвою Chalubo як винуватця атаки. Chalubo, вперше відзначений Sophos у жовтні 2018 року, відомий своєю здатністю націлюватись на різноманітні ядра SOHO/IoT, виконувати DDoS-атаки та виконувати сценарії Lua. Схоже, зловмисники використовували Chalubo, щоб ускладнити атрибуцію, а не використати спеціальний інструмент. Точний метод, використаний для отримання початкового доступу до маршрутизаторів, залишається незрозумілим, хоча він міг включати слабкі облікові дані або відкритий адміністративний інтерфейс.

Після того як доступ було захищено, зловмисне програмне забезпечення розгорнуло сценарії оболонки для завантаження та запуску Chalubo із зовнішнього сервера, включаючи деструктивний модуль сценаріїв Lua. Ця кампанія зосереджена на одному ASN є незвичною, оскільки більшість атак спрямовані на конкретні моделі маршрутизаторів або загальні вразливості, що свідчить про навмисну та конкретну ціль, хоча мотивація зловмисників залишається невідомою.

Lumen підкреслив безпрецедентний масштаб цієї атаки, зазначивши, що жоден попередній інцидент не вимагав заміни понад 600 000 пристроїв. Подібною подією стала атака AcidRain , яка передувала активному військовому вторгненню , що підкреслило серйозність і унікальність інциденту Pumpkin Eclipse.