Кибератака уничтожила 600 000 маршрутизаторов в США

Неизвестная хакерская группа провела масштабную кибератаку на телекоммуникационную компанию в США в 2023 году, reportedly disabling over 600,000 internet routers.

В новом отчете, опубликованном лабораторией Black Lotus Labs компании Lumen Technologies, исследователи безопасности утверждают, что загадочная атака, которая была обнаружена в последние месяцы, произошла в конце октября 2023 года.

Более 600 000 маршрутизаторов для малых офисов/домашних офисов (SOHO), принадлежащих одному интернет-провайдеру (ISP), были отключены.

Согласно отчету, инцидент произошел в течение 72 часов с 25 по 27 октября 2023 года в нескольких штатах США. Это затронуло три модели маршрутизаторов, выданные ISP: ActionTec T3200, ActionTec T3260 и Sagemcom F5380.

Загадочное событие, получившее кодовое название «Pumpkin Eclipse» командой Black Lotus Labs компании Lumen Technologies, сделало зараженные устройства навсегда неработоспособными и потребовало замены на аппаратном уровне.

В этот период 49% всех модемов были внезапно удалены из автономной системы провайдера (ASN).

«При поиске уязвимостей, затрагивающих эти модели в [платформе уведомлений об уязвимостях] OpenCVE для ActionTec, ни одна из них не была указана для двух рассматриваемых моделей, что предполагает, что злоумышленник, вероятно, либо использовал слабые учетные данные, либо эксплуатировал открытую административную интерфейс», - сказали исследователи Black Lotus в блоге.

Хотя Black Lotus Labs не назвали затронутый ISP, детали, которые они сообщают, совпадают с провайдером Windstream из Арканзаса, который также столкнулся с отключением в то же время. Начиная с 25 октября 2023 года, подписчики Windstream начали сообщать на Reddit, что их маршрутизаторы показывают «статический красный свет».

Поскольку удаленное исправление было невозможно, клиентам Windstream было предложено вернуть свои отключенные маршрутизаторы для получения новых устройств, чтобы восстановить доступ в интернет. Маршрутизаторы, по предварительным оценкам, составляют минимум 600 000, были отключены неизвестным злоумышленником.

Теперь, спустя несколько месяцев, анализ Lumen выявил «Chalubo», тройный доступ к удаленному управлению (RAT), впервые задокументированный компанией Sophos в октябре 2018 года, как основной вредоносный код, ответственный за вышеуказанное событие. Он удалил элементы операционного кода маршрутизаторов и сделал их фактически неработоспособными.

Очевидно, функция, встроенная в Chalubo, позволила злоумышленнику выполнять функциональность Lua-скриптов на зараженных устройствах. Исследователи полагают, что загруженный вредоносный код выполнял код, который навсегда перезаписывал прошивку маршрутизатора.

Lumen не предоставил никаких деталей о том, кто стоял за атакой или как обновление прошивки было отправлено всем затронутым клиентам - через неизвестную уязвимость, слабые учетные данные или доступ к открытому административному интерфейсу.

Согласно исследователям, потенциальные последствия атаки могут быть серьезными.

«Мы с высокой уверенностью оцениваем, что вредоносное обновление прошивки было преднамеренным актом, направленным на создание отключения. Разрушительные атаки такого рода вызывают серьезные опасения, особенно в данном случае.

Значительная часть зоны обслуживания этого ISP охватывает сельские или недостаточно обслуживаемые сообщества; места, где жители могли потерять доступ к экстренным службам, фермерские предприятия могли потерять критически важную информацию о дистанционном мониторинге урожая во время сбора, а поставщики медицинских услуг были отключены от телемедицины или записей пациентов», - сказали исследователи Lumen в отчете.

Хотя Black Lotus Labs не смогли восстановить разрушительный модуль, они продолжают мониторить активность, чтобы предотвратить будущие атаки.

Они рекомендуют организациям, управляющим маршрутизаторами SOHO, не полагаться на общие стандартные пароли, а клиентам с маршрутизаторами SOHO регулярно перезагружать маршрутизаторы и устанавливать обновления безопасности и патчи.