美國超過 60 萬台路由器因神秘網路攻擊而癱瘓

美國超過 60 萬個小型辦公室/家庭辦公室 (SOHO) 路由器在未知攻擊者發動的網路攻擊中無法運行，導致許多用戶的網路存取中斷。這起重大事件發生在 2023 年 10 月 25 日至 27 日期間，被 Lumen Technologies Black Lotus 實驗室團隊稱為「南瓜日食」。此攻擊針對的是由未公開的網路服務供應商 (ISP) 提供的三種特定路由器型號：ActionTec T3200、ActionTec T3260 和 Sagemcom。

在 72 小時的攻擊期間，受感染的路由器被永久損壞，需要更換硬體。此事件導致與 ISP 自治系統編號 (ASN) 相關的所有數據機的 49% 遺失。雖然該 ISP 的身份尚未正式確認，但由於相應的中斷以及用戶報告受影響的數據機顯示“穩定的紅燈”，因此懷疑是 Windstream。

Lumen 隨後的調查發現，名為 Chalubo 的商品遠端存取木馬 (RAT) 是攻擊的罪魁禍首。 Chalubo 於 2018 年 10 月首次被 Sophos 注意到，以其針對各種 SOHO/IoT 核心、執行DDoS 攻擊和執行 Lua 腳本的能力而聞名。攻擊者似乎使用 Chalubo 來使歸因複雜化，而不是使用自訂工具。用於獲得對路由器的初始存取權的確切方法仍不清楚，儘管它可能涉及弱憑證或暴露的管理介面。

一旦存取受到保護，惡意軟體就會部署 shell 腳本從外部伺服器下載並啟動 Chalubo，其中包括破壞性的 Lua 腳本模組。該活動針對單一 ASN 的關注是不同尋常的，因為大多數攻擊都針對特定的路由器模型或常見漏洞，這表明攻擊者的動機仍然未知，但表明這是一個蓄意且特定的目標。

Lumen 強調了這次攻擊的規模空前，並指出之前沒有發生過需要更換超過 60 萬台設備的事件。一個類似的事件是酸雨襲擊，它發生在積極的軍事入侵之前，突顯了南瓜日食事件的嚴重性和獨特性。