恶意固件更新破坏了 ISP 的 60 多万台路由器

阅读量60859

发布时间 : 2024-05-31 10:33:46

去年 10 月,同一家 ISP 服务的用户的至少 60 万台路由器被彻底摧毁,这是历史上最大规模的大规模路由器损坏事件之一。该事件被称为“南瓜日蚀”,研究人员仍不清楚这些路由器是如何被感染的。

受影响的设备持续亮起红灯,对故障排除尝试没有反应,因此必须更换。现在,新的研究揭示了这次攻击,它采用了异常复杂和隐秘的攻击方法。

“南瓜日食”路由器攻击
攻击始于 2023 年 10 月 25 日,当时该 ISP 的用户开始报告他们的 ActionTec T3200 和 Sagemcom路由器突然停止工作。用户称这些设备没有响应,前面板上有稳定的红灯。

许多人将路由器大规模“变砖”归咎于 ISP,声称该公司推送了错误的固件更新。然而,根据Black Lotus Labs 的最新研究,这起事件实际上是蓄意恶意行为的结果。
研究人员报告称,在 72 小时内,一种名为“Chalubo”的恶意软件感染了超过 60 万台路由器,这些路由器连接到一个属于未具名 ISP 的自治系统号 (ASN)。虽然研究人员避免透露受攻击影响的 ISP 的名称,但对攻击的描述与几个月前Windstream ISP 用户表达的不满相符,例如受影响的路由器及其导致的行为。

Chalubo 恶意软件是一种商用远程访问木马 (RAT),于 2018 年首次被发现,它采用了复杂的策略来掩盖其踪迹。它从受感染设备的磁盘中删除所有文件,完全在内存中运行,并采用路由器上已经存在的随机进程名称。

研究人员认为,恶意软件下载并运行的代码会永久覆盖路由器的默认设备固件,使其永久无法运行。研究人员表示,虽然攻击背后的动机尚不清楚,但其影响令人担忧。

研究人员不确定初始攻击媒介,但推测存在可能性
尽管研究人员确定了恶意软件的多链攻击过程及其在 ISP 网络中的传播,但他们无法确定威胁行为者使用的初始感染媒介。他们推测,这可能是由于利用了固有漏洞、利用了弱凭证或破坏了路由器的管理面板造成的。

研究人员表示,这次攻击令人高度担忧,因为它代表了恶意软件大规模破坏消费者网络设备的新先例。研究人员只能回忆起之前发生过一次类似的事件——2022 年发现的 AcidRain 恶意软件,它在俄罗斯入侵期间摧毁了乌克兰和欧洲的 10,000 多个卫星互联网调制解调器。
研究人员表示,“南瓜蚀”攻击的影响尤其严重,因为受影响的 ISP 的服务区域覆盖了许多农村和服务不足的社区。居民可能无法获得紧急服务,农民可能无法进行远程农作物监测,医疗服务提供者可能无法访问患者记录或提供远程医疗服务。

Lumen 研究人员写道:“目前,我们并不认为这是某个民族国家或国家支持的实体所为。”事实上,我们并未观察到与已知破坏性活动群有任何重叠;尤其是那些容易发生破坏性事件的活动群,例如伏尔特台风或海壳暴风雪。

尽管如此,他们推测使用商品恶意软件家族可能是为了掩盖犯罪者的潜在身份而采取的故意举措。

研究人员补充说,在孤立或脆弱的地区,从这种供应链中断中恢复总是更具挑战性。

本文转载自:

如若转载,请注明出处: https://thecyberexpress.com/pumpkin-eclipse-600000-routers-windstream/

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66