Търсене
Close this search box.

Мистериозна атака е свалила над 600 000 рутера

Смята се, че повече от 600 000 рутера за малки и домашни офиси (SOHO) са били блокирани и изключени от мрежата след разрушителна кибератака, организирана от неидентифицирани хакери, която е нарушила достъпа на потребителите до интернет.

Мистериозното събитие, което се е случило между 25 и 27 октомври 2023 г. и е засегнало един-единствен доставчик на интернет услуги (ISP) в САЩ, е с кодово име Pumpkin Eclipse (Тиквено затъмнение), дадено от екипа на Lumen Technologies Black Lotus Labs. То е засегнало конкретно три модела маршрутизатори, издадени от интернет доставчика: ActionTec T3200, ActionTec T3260 и Sagemcom.

„Инцидентът се случи в продължение на 72 часа между 25 и 27 октомври, направи заразените устройства трайно нефункционални и наложи хардуерна подмяна“, се казва в техническия доклад на компанията.

Прекъсването на електрозахранването е значимо, не на последно място защото е довело до внезапното премахване на 49% от всички модеми от автономния системен номер (ASN) на засегнатия доставчик на интернет услуги през посочения период от време.

Въпреки че името на доставчика на интернет услуги не беше разкрито, доказателствата сочат, че това е Windstream, който претърпя прекъсване по същото време, което накара потребителите да съобщят за „постоянна червена светлина“, показвана от засегнатите модеми.

Сега, месеци по-късно, анализът на Lumen разкрива, че за саботажа е отговорен  троянски кон за отдалечен достъп (RAT), наречен Chalubo – скрит зловреден софтуер, документиран за първи път от Sophos през октомври 2018 г., като противникът е избрал него вероятно в опит да усложни усилията за приписване, вместо да използва персонализиран набор от инструменти.

„Chalubo има полезен товар, предназначен за всички основни SOHO/IoT ядра, предварително изградена функционалност за извършване на DDoS атаки и може да изпълни всеки Lua скрипт, изпратен до бота“, заявиха от компанията. „Подозираме, че функционалността Lua вероятно е била използвана от злонамерения извършител, за да изтегли разрушителния полезен товар.“

При това точният първоначален метод за достъп, използван за пробив в рутерите, засега не е ясен, макар че се предполага, че може да е включвал злоупотреба със слаби идентификационни данни или използване на открит административен интерфейс.

След като получи успешна опора, веригата за заразяване продължава да пуска шел скриптове, които проправят пътя за зареждащ модул, в крайна сметка предназначен за извличане и стартиране на Chalubo от външен сървър. Деструктивният модул на Lua скрипта, който се извлича от троянеца, е неизвестен.

Забележителен аспект на кампанията е насочването ѝ към един ASN, за разлика от други, които обикновено са насочени към конкретен модел рутер или обща уязвимост, което повишава вероятността тя да е била умишлено насочена, въпреки че мотивите зад нея все още не са определени.

„Събитието беше безпрецедентно поради броя на засегнатите устройства – никоя атака, за която си спомняме, не е изисквала подмяната на над 600 000 устройства“, заявиха от Lumen. „Освен това подобен тип атака се е случвала само веднъж досега, като AcidRain е използван като предшественик на активна военна инвазия.“

 

Източник: The Hacker News

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
Бъдете социални
Още по темата
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
12/06/2024

Съвети за отпускарския сезон

Лятото чука на вратата и се...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!