神秘网络攻击导致美国 60 多万台路由器瘫痪

2024-08-01 15:36:33 1 796

神秘网络攻击导致美国 60 多万台路由器瘫痪



据估计,在一次由不明身份的网络攻击者发起的破坏性网络攻击之后,超过 600,000 个小型办公室/家庭办公室 (SOHO) 路由器被破坏并离线,从而中断了用户的互联网访问。

此次神秘事件发生于 2023 年 10 月 25 日至 27 日,影响了美国的一家互联网服务提供商 (ISP),Lumen Technologies Black Lotus Labs 团队将其代号为“南瓜日蚀”。它具体影响了 ISP 发布的三款路由器型号:ActionTec T3200、ActionTec T3260 和 Sagemcom。

该公司在一份技术报告中表示: “此次事件发生在 10 月 25 日至 27 日的 72 小时内,导致受感染的设备永久无法运行,需要进行硬件更换。”

此次停电影响重大,尤其因为它导致该时间范围内 49% 的调制解调器从受影响的 ISP 的自治系统编号 (ASN) 中突然删除。

虽然没有透露 ISP 的名称,但证据表明它是 Windstream,该公司在同一时间遭遇了停电,导致用户报告受影响的调制解调器显示“稳定的红灯”。

现在,几个月过去了,Lumen 的分析表明,一种名为Chalubo的商品远程访问木马 (RAT) (Sophos 于 2018 年 10 月首次记录的一种隐秘恶意软件)是此次破坏活动的罪魁祸首,攻击者选择使用它大概是为了使归因工作复杂化,而不是使用自定义工具包。

该公司表示:“Chalubo 拥有针对所有主要 SOHO/IoT 内核设计的有效载荷、执行 DDoS 攻击的预构建功能,并且可以执行发送给机器人的任何 Lua 脚本。我们怀疑恶意行为者可能利用 Lua 功能来检索破坏性有效载荷。”

尽管如此,目前尚不清楚用于入侵路由器的具体初始访问方法,但理论上它可能涉及滥用弱凭证或利用暴露的管理界面。

成功立足后,感染链会继续投放 shell 脚本,为最终旨在从外部服务器检索和启动 Chalubo 的加载程序铺平道路。该木马获取的破坏性 Lua 脚本模块尚不清楚。

此次攻击活动值得注意的一点是,它只针对单个 ASN,而其他攻击活动通常针对特定的路由器型号或常见漏洞,这增加了它是故意攻击的可能性,尽管其背后的动机尚不确定。

“此次事件史无前例,因为受影响的设备数量之多——据我们所知,没有一次攻击需要更换超过 60 万台设备,”卢门说。“此外,这种类型的攻击以前只发生过一次,当时AcidRain是主动军事入侵的前兆。”

关于作者

maojila101篇文章441篇回复

评论1次

要评论?请先  登录  或  注册