Multi-License Discount Quote
Computer Security Hơn 600.000 bộ định tuyến ở Mỹ bị đánh sập bởi cuộc tấn...

Hơn 600.000 bộ định tuyến ở Mỹ bị đánh sập bởi cuộc tấn công mạng bí ẩn

Đến năm Mura năm Computer Security
Dịch sang:
Tiếng Việt Nam

Hơn 600.000 bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO) ở Hoa Kỳ không thể hoạt động được trong một cuộc tấn công mạng do những kẻ tấn công không xác định thực hiện, làm gián đoạn truy cập Internet của nhiều người dùng. Sự kiện quan trọng này diễn ra từ ngày 25 đến ngày 27 tháng 10 năm 2023 và được nhóm Lumen Technologies Black Lotus Labs mệnh danh là "Nhật thực bí ngô". Cuộc tấn công nhắm vào ba mẫu bộ định tuyến cụ thể—ActionTec T3200, ActionTec T3260 và Sagemcom—được cung cấp bởi một nhà cung cấp dịch vụ internet (ISP) không được tiết lộ.

Trong thời gian tấn công kéo dài 72 giờ, các bộ định tuyến bị xâm nhập đã bị hỏng vĩnh viễn, cần phải thay thế phần cứng. Sự cố này khiến 49% tổng số modem liên kết với số hệ thống tự trị (ASN) của ISP bị mất. Mặc dù danh tính của ISP chưa được xác nhận chính thức nhưng Windstream bị nghi ngờ do sự cố ngừng hoạt động tương ứng và báo cáo của người dùng về các modem bị ảnh hưởng hiển thị "đèn đỏ ổn định".

Cuộc điều tra sau đó của Lumen đã xác định trojan truy cập từ xa hàng hóa (RAT) có tên Chalubo là thủ phạm đằng sau vụ tấn công. Chalubo, được Sophos chú ý lần đầu tiên vào tháng 10 năm 2018, được biết đến với khả năng nhắm mục tiêu nhiều loại hạt nhân SOHO/IoT, thực hiện các cuộc tấn công DDoS và thực thi các tập lệnh Lua. Có vẻ như những kẻ tấn công đã sử dụng Chalubo để làm phức tạp việc phân bổ, thay vì sử dụng một công cụ tùy chỉnh. Phương pháp chính xác được sử dụng để có được quyền truy cập ban đầu vào bộ định tuyến vẫn chưa rõ ràng, mặc dù nó có thể liên quan đến thông tin xác thực yếu hoặc giao diện quản trị bị lộ.

Sau khi quyền truy cập được bảo mật, phần mềm độc hại sẽ triển khai các tập lệnh shell để tải xuống và khởi chạy Chalubo từ máy chủ bên ngoài, bao gồm cả mô-đun tập lệnh Lua mang tính phá hoại. Việc chiến dịch này tập trung vào một ASN duy nhất là điều bất thường, vì hầu hết các cuộc tấn công đều nhắm vào các mô hình bộ định tuyến cụ thể hoặc các lỗ hổng phổ biến, gợi ý một mục tiêu có chủ ý và cụ thể, mặc dù động cơ của những kẻ tấn công vẫn chưa được biết.

Lumen nhấn mạnh quy mô chưa từng có của cuộc tấn công này, đồng thời lưu ý rằng không có sự cố nào trước đó đòi hỏi phải thay thế hơn 600.000 thiết bị. Một sự kiện có thể so sánh là cuộc tấn công AcidRain , xảy ra trước một cuộc xâm lược quân sự tích cực , nhấn mạnh mức độ nghiêm trọng và tính chất đặc biệt của sự cố Nhật thực bí ngô.

Đang tải...