美国超过 60 万台路由器遭神秘网络攻击

美国有超过 60 万台小型办公室/家庭办公室 (SOHO) 路由器在一次未知攻击者发起的网络攻击中无法使用，导致许多用户的互联网访问中断。这一重大事件发生在 2023 年 10 月 25 日至 27 日之间，被 Lumen Technologies Black Lotus Labs 团队称为“南瓜日食”。此次攻击针对的是一家未公开的互联网服务提供商 (ISP) 提供的三种特定路由器型号——ActionTec T3200、ActionTec T3260 和 Sagemcom。

在 72 小时的攻击期间，受感染的路由器被永久损坏，需要更换硬件。此事件导致与 ISP 自治系统号 (ASN) 关联的所有调制解调器中有 49% 丢失。虽然 ISP 的身份尚未得到官方确认，但 Windstream 被怀疑是黑客所为，因为相应的中断和用户报告称受影响的调制解调器显示“稳定的红灯”。

Lumen 随后的调查发现，名为 Chalubo 的商品远程访问木马 (RAT) 是此次攻击的罪魁祸首。Chalubo 于 2018 年 10 月首次被 Sophos 发现，它以能够针对各种 SOHO/IoT 内核、执行DDoS 攻击和执行 Lua 脚本而闻名。看来攻击者使用 Chalubo 来使归因复杂化，而不是使用自定义工具。用于获取路由器初始访问权限的具体方法仍不清楚，但它可能涉及弱凭据或暴露的管理界面。

一旦获得访问权限，恶意软件就会部署 shell 脚本，从外部服务器下载并启动 Chalubo，其中包括破坏性的 Lua 脚本模块。此活动专注于单个 ASN 并不常见，因为大多数攻击都针对特定路由器型号或常见漏洞，这表明攻击者是蓄意而为的特定目标，尽管攻击者的动机尚不清楚。

Lumen 强调了这次攻击的空前规模，并指出之前从未发生过需要更换超过 60 万台设备的事件。类似的事件是AcidRain攻击，该攻击发生在军事入侵之前，这凸显了 Pumpkin Eclipse 事件的严重性和独特性。