Осенью 2023 года неизвестные злоумышленники устроили одну из самых разрушительных атак на домашние сетевые устройства за всю историю наблюдений: за трое суток они безвозвратно вывели из строя более 600 тысяч роутеров, оставив пользователей без интернета.
Что произошло
Инцидент случился между 25 и 27 октября 2023 года и затронул только одного интернет-провайдера в США. Команда Black Lotus Labs компании Lumen Technologies присвоила атаке кодовое имя Pumpkin Eclipse. Под удар попали три конкретные модели роутеров, которые провайдер выдавал абонентам: ActionTec T3200, ActionTec T3260 и Sagemcom.
«Инцидент произошёл в течение 72-часового периода 25–27 октября, сделал заражённые устройства навсегда неработоспособными и потребовал их физической замены», — говорится в техническом отчёте Lumen.
Масштаб атаки впечатляет: из автономной системы (ASN) пострадавшего провайдера одномоментно исчезло 49% всех подключённых модемов. Название самого провайдера в отчёте не раскрывается, но косвенные признаки указывают на компанию Windstream — примерно в те же дни пользователи жаловались на массовый сбой связи и описывали, что их модемы светились «постоянным красным индикатором».
Кто виноват — троян Chalubo
Спустя несколько месяцев аналитики Lumen установили, что за саботажем стоит коммерческий троян удалённого доступа (RAT) под названием Chalubo — скрытная малварь, впервые описанная компанией Sophos ещё в октябре 2018 года. По мнению исследователей, атакующие выбрали именно этот распространённый инструмент, а не собственную разработку, чтобы затруднить атрибуцию атаки.
«У Chalubo есть полезные нагрузки под все основные ядра SOHO/IoT-устройств, встроенные функции для DDoS-атак, и он способен выполнить любой отправленный ему Lua-скрипт, — отметили в Lumen. — Мы предполагаем, что именно Lua-функциональность использовалась злоумышленником для загрузки деструктивной полезной нагрузки».
Точный способ первоначального проникновения в роутеры остаётся неясным. По одной из версий, атакующие могли воспользоваться слабыми учётными данными или открытым интерфейсом администрирования устройства. После получения доступа злоумышленники разворачивали цепочку заражения: сначала на устройство сбрасывались shell-скрипты, которые готовили почву для загрузчика, а тот, в свою очередь, скачивал и запускал Chalubo с внешнего сервера. Какой именно деструктивный Lua-скрипт был получен трояном на финальном этапе, специалистам установить не удалось.
Почему это необычно
Отдельного внимания заслуживает то, что атака была нацелена на одну конкретную автономную систему целиком, а не на определённую модель роутера или общую уязвимость, как это обычно бывает. Это наводит на мысль, что удар был спланирован прицельно, хотя мотивы злоумышленников так и остались неустановленными.
«Событие было беспрецедентным по числу пострадавших устройств — мы не припомним ни одной атаки, которая потребовала бы замены более 600 000 устройств, — заявили в Lumen. — Кроме того, подобное происходило лишь однажды: тогда вредонос AcidRain использовался как подготовительный этап перед началом военного вторжения».
Источник: The Hacker News.