去年 10 月的某天,名为 Windstream 的 ISP 的用户开始在留言板上大量报告他们的路由器突然停止工作,并且对重新启动和所有其他恢复尝试均没有反应。
“路由器现在就放在那里,前面有一个稳定的红灯。”一位用户写道,他指的是 Windstream 为他们和隔壁邻居提供的 ActionTec T3200 路由器型号。“就算长按 RESET 之后,路由器也没有任何反应。”
在 10 月 25 日开始的几天内出现的消息中,许多 Windstream 用户将大规模故障归咎于 ISP。他们说这是该公司推送的更新毒害设备的结果。
Windstream 的 Kinetic 宽带服务在爱荷华州、阿拉巴马州、阿肯色州、乔治亚州和肯塔基州等 18 个州拥有约160 万用户。对于许多客户来说,Kinetic 是与外界联系的重要纽带。
在最终确定这些路由器永久无法使用后,Windstream 向受影响的客户发送了新路由器。Black Lotus Labs 将此事件命名为“Pumpkin Eclipse(南瓜日蚀)”。
蓄意攻击活动
安全公司 Lumen Technologies 的 Black Lotus 实验室本周四发布了一份调查报告,为该事件提供新的线索,但 Windstream 尚未对此作出解释。Black Lotus Labs 的研究人员表示,从 10 月 25 日开始的 72 小时内,恶意软件摧毁了 60 多万台连接到某个未具名 ISP 的单个自治系统号(ASN) 的路由器。
虽然研究人员没有指明是哪家 ISP,但他们报告的细节几乎与 Windstream 用户 10 月份发送的消息完全吻合。具体来说,大规模故障开始的日期、受影响的路由器型号、ISP 的描述,以及停用的 ActionTec 路由器显示的静态红灯。Windstream 代表拒绝回答通过电子邮件发送的问题。
据 Black Lotus 实验室称,这些路由器(保守估计至少有 60 万台)被一个不知名的攻击者拿走,其动机同样不明。这名攻击者采取刻意措施来掩盖他们的踪迹,他们使用的是名为Chalubo 的商业恶意软件,而不是定制开发的工具包。Chalubo 的内置功能允许攻击者在受感染的设备上执行自定义Lua脚本。
研究人员认为,该恶意软件下载并运行了永久覆盖路由器固件的代码。
周四的报告指出:“我们高度确信,恶意固件更新是故意造成中断的行为,尽管我们预计互联网上许多路由器品牌和型号都会受到影响,但这一事件仅限于单个 ASN”,报告进一步指出单个恶意软件突然切断 600,000 个路由器的连接所带来的令人不安的影响。
研究人员写道
这种破坏性攻击令人高度担忧,尤其是在这种情况下。该 ISP 的服务区域很大一部分覆盖农村或服务不足的社区;这些地方的居民可能无法获得紧急服务,农业企业可能在收获期间丢失了远程监控农作物的关键信息,医疗保健提供者无法获得远程医疗或患者记录。毋庸置疑,在孤立或脆弱的社区中,任何供应链中断的恢复都需要更长的时间。
在得知大规模路由器中断事件后,Black Lotus Labs 开始在 Censys 搜索引擎中查询受影响的路由器型号。一周快照很快显示,就在报告开始时,某个特定 ASN 的这些型号下降了 49%。这相当于至少 179,000 台 ActionTec 路由器和 Sagemcom 销售的 480,000 多台路由器中断服务。
互联网扫描数据显示了攻击发生当周受影响 ASN 中的设备数量
路由器与任何 ISP 的不断连接和断开使追踪过程变得复杂,因为不可能知道消失是正常的流失还是更复杂的情况。Black Lotus Labs 表示,保守估计,它追踪到的断开连接中至少有 60 万次是 Chaluba 感染设备并永久擦除设备所运行的固件所致。
在识别 ASN 后,Black Lotus 实验室发现了在路由器上安装 Chaluba 的复杂多路径感染机制。下图提供了逻辑概述。
逻辑感染过程及对应的 C2 节点
研究人员发现的恶意软件大规模清除路由器数据的例子并不多。最接近的可能是 2022 年发现的AcidRain,这种恶意软件摧毁了卫星互联网提供商 Viasat 的 10,000 个调制解调器。这次网络中断袭击了乌克兰和欧洲其他地区,与俄乌战争爆发有关。
Black Lotus 实验室的一名代表在接受采访时表示,研究人员不能排除影响 ISP 的路由器清除事件背后是否有国家支持的黑客组织。但到目前为止,研究人员表示,他们还不知道这些攻击与他们追踪的任何已知APT组织有任何重叠。
研究人员尚未确定感染路由器的初始手段。攻击者可能利用了漏洞,尽管研究人员表示,他们不知道受影响的路由器中存在任何已知漏洞。其他可能性是攻击者滥用了弱凭证或访问了暴露的管理面板。
一次与众不同的袭击
虽然研究人员之前已经分析过针对家庭和小型办公室路由器的攻击,但他们表示,有两件事让这次攻击显得格外突出。
他们解释道:首先,此次攻击活动导致受影响设备的硬件更换,这可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量众多,此次事件是史无前例的——据我们所知,没有一次攻击需要更换超过 60 万台设备。此外,这种类型的攻击以前只发生过一次,当时 AcidRain 被用作主动军事入侵的前兆。
他们继续说道:第二个独特之处是,此次攻击活动仅限于特定的 ASN。我们之前见过的大多数攻击活动都针对特定的路由器型号或常见漏洞,并对多个提供商的网络产生影响。
在本例中,我们观察到 Sagemcom 和 ActionTec 设备同时受到影响,且均在同一提供商的网络内。这让我们判断这不是由单个制造商的固件更新错误造成的,通常只限于某个公司生产的一种或多种设备型号。
我们对 Censys 数据的分析显示,影响仅针对上述两个设备。这些因素让我们得出结论,即使我们无法恢复破坏性模块,该事件也可能是未归因的恶意攻击者故意采取的行动。
由于不清楚路由器是如何被感染的,研究人员只能提供一些通用的建议,让这些设备免受恶意软件的侵害。
这些建议包括安装安全更新、用强密码替换默认密码以及定期重启。ISP 和其他管理路由器的组织应遵循其他建议,以确保管理设备的管理界面的安全。
周四的报告包括 IP 地址、域名和其他威胁检测指标(IOCs),人们可以使用这些指标来确定他们的设备是否已成为攻击目标或遭到破坏。
详细技术分析参考:https://blog.lumen.com/the-pumpkin-eclipse/
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/yB7y_4WYWCQDWDcg7sEN4A
暂无评论内容