Загадочная кибератака вывела из строя более 600 000 роутеров в США

Осенью 2023 года неизвестные злоумышленники устроили одну из самых разрушительных атак на домашние сетевые устройства за всю историю наблюдений: за трое суток они безвозвратно вывели из строя более 600 тысяч роутеров, оставив пользователей без интернета.

Что произошло

Инцидент случился между 25 и 27 октября 2023 года и затронул только одного интернет-провайдера в США. Команда Black Lotus Labs компании Lumen Technologies присвоила атаке кодовое имя Pumpkin Eclipse. Под удар попали три конкретные модели роутеров, которые провайдер выдавал абонентам: ActionTec T3200, ActionTec T3260 и Sagemcom.

«Инцидент произошёл в течение 72-часового периода 25–27 октября, сделал заражённые устройства навсегда неработоспособными и потребовал их физической замены», — говорится в техническом отчёте Lumen.

Масштаб атаки впечатляет: из автономной системы (ASN) пострадавшего провайдера одномоментно исчезло 49% всех подключённых модемов. Название самого провайдера в отчёте не раскрывается, но косвенные признаки указывают на компанию Windstream — примерно в те же дни пользователи жаловались на массовый сбой связи и описывали, что их модемы светились «постоянным красным индикатором».

Кто виноват — троян Chalubo

Спустя несколько месяцев аналитики Lumen установили, что за саботажем стоит коммерческий троян удалённого доступа (RAT) под названием Chalubo — скрытная малварь, впервые описанная компанией Sophos ещё в октябре 2018 года. По мнению исследователей, атакующие выбрали именно этот распространённый инструмент, а не собственную разработку, чтобы затруднить атрибуцию атаки.

«У Chalubo есть полезные нагрузки под все основные ядра SOHO/IoT-устройств, встроенные функции для DDoS-атак, и он способен выполнить любой отправленный ему Lua-скрипт, — отметили в Lumen. — Мы предполагаем, что именно Lua-функциональность использовалась злоумышленником для загрузки деструктивной полезной нагрузки».

Точный способ первоначального проникновения в роутеры остаётся неясным. По одной из версий, атакующие могли воспользоваться слабыми учётными данными или открытым интерфейсом администрирования устройства. После получения доступа злоумышленники разворачивали цепочку заражения: сначала на устройство сбрасывались shell-скрипты, которые готовили почву для загрузчика, а тот, в свою очередь, скачивал и запускал Chalubo с внешнего сервера. Какой именно деструктивный Lua-скрипт был получен трояном на финальном этапе, специалистам установить не удалось.

Почему это необычно

Отдельного внимания заслуживает то, что атака была нацелена на одну конкретную автономную систему целиком, а не на определённую модель роутера или общую уязвимость, как это обычно бывает. Это наводит на мысль, что удар был спланирован прицельно, хотя мотивы злоумышленников так и остались неустановленными.

«Событие было беспрецедентным по числу пострадавших устройств — мы не припомним ни одной атаки, которая потребовала бы замены более 600 000 устройств, — заявили в Lumen. — Кроме того, подобное происходило лишь однажды: тогда вредонос AcidRain использовался как подготовительный этап перед началом военного вторжения».

Источник: The Hacker News.