サイバー攻撃がアメリカで60万台のルーターを破壊

特定されていないハッキンググループが、2023年にアメリカの通信会社に対して大規模なサイバー攻撃を実行し、60万台以上のインターネットルーターを無効にしたと報告されています。

Lumen TechnologiesのBlack Lotus Labsが発表した新しい報告書によると、最近発見されたこの神秘的な攻撃は、2023年10月下旬に発生したとされています。

単一のインターネットサービスプロバイダー（ISP）に属する60万台以上の小型オフィス/ホームオフィス（SOHO）ルーターがオフラインになりました。

報告書によると、この事件は2023年10月25日から27日までの72時間にわたって、アメリカのいくつかの州で発生しました。ISPが発行した3つのルーターモデル、ActionTec T3200、ActionTec T3260、Sagemcom F5380に影響を与えました。

Lumen TechnologiesのBlack Lotus Labsチームによって「Pumpkin Eclipse」とコードネームが付けられたこの神秘的な出来事は、感染したデバイスを永久に使用不能にし、ハードウェアベースの交換が必要でした。

この期間中、影響を受けたISPの自律システム番号（ASN）からは、全モデムの49％が突然削除されました。

「ActionTecのこれらのモデルに影響を与える脆弱性を[vulnerability alerting platform] OpenCVEで検索したところ、問題の2つのモデルに対してはリストされていなかったため、脅威アクターはおそらく弱い資格情報を悪用するか、公開された管理インターフェースを利用した可能性がある」とBlack Lotusの研究者はブログ投稿で述べています。

Black Lotus Labsは影響を受けたISPの名前を明らかにしていませんが、彼らが報告する詳細は、同時期に障害が発生したアーカンソー州のISPプロバイダーWindstreamと一致しています。2023年10月25日から、Windstreamの加入者はRedditで自分のルーターが「静的な赤い光」を表示していると報告し始めました。

リモート修正が不可能であったため、Windstreamの顧客はインターネットアクセスを復元するために無効になったルーターを新しいデバイスに交換するよう求められました。おおよそ60万台と推定されるルーターは、未知の脅威アクターによってオフラインにされました。

数ヶ月後、Lumenの分析は、2018年10月にSophosによって最初に文書化された商品型リモートアクセストロイの木馬（RAT）「Chalubo」を、上記のイベントの主要なペイロードとして特定しました。これはルーターの運用コードの要素を削除し、実質的に使用不能にしました。

どうやら、Chaluboに組み込まれた機能により、脅威アクターは感染したデバイス上でLuaスクリプト機能を実行できるようになっていました。研究者たちは、ダウンロードされたマルウェアがルーターのファームウェアを永久に上書きするコードを実行したと考えています。

Lumenは、攻撃の背後に誰がいるのか、またファームウェアの更新が影響を受けたすべての顧客にどのように配信されたのか（未知の脆弱性、弱い資格情報、または公開された管理インターフェースへのアクセスを通じて）についての詳細を提供していません。

研究者たちによると、攻撃の潜在的な結果は深刻なものになり得ます。

「悪意のあるファームウェアの更新が障害を引き起こすことを意図した故意の行為であると高い信頼を持って評価しています。この種の破壊的攻撃は非常に懸念されるものであり、特にこのケースではそうです。

このISPのサービスエリアのかなりの部分は、農村部やサービスが行き届いていないコミュニティをカバーしており、住民が緊急サービスへのアクセスを失ったり、農業関連の懸念が収穫中の作物の遠隔監視から重要な情報を失ったり、医療提供者がテレヘルスや患者の記録から切り離されたりする可能性があります」とLumenの研究者は報告書で述べています。

Black Lotus Labsは破壊的モジュールを回復することはできませんでしたが、将来の攻撃を防ぐために活動を監視しています。

SOHOルーターを管理する組織には、一般的なデフォルトパスワードに依存しないことを推奨し、SOHOルーターを持つ顧客には、ルーターを定期的に再起動し、セキュリティ更新やパッチをインストールすることを推奨しています。