神秘网络攻击导致美国 60 多万台路由器瘫痪

据估计，在一次由不明身份的网络攻击者发起的破坏性网络攻击之后，超过 600,000 个小型办公室/家庭办公室 (SOHO) 路由器被破坏并离线，从而中断了用户的互联网访问。

此次神秘事件发生于 2023 年 10 月 25 日至 27 日，影响了美国的一家互联网服务提供商 (ISP)，Lumen Technologies Black Lotus Labs 团队将其代号为“南瓜日蚀”。它具体影响了 ISP 发布的三款路由器型号：ActionTec T3200、ActionTec T3260 和 Sagemcom。

该公司在一份技术报告中表示： “此次事件发生在 10 月 25 日至 27 日的 72 小时内，导致受感染的设备永久无法运行，需要进行硬件更换。”

此次停电影响重大，尤其因为它导致该时间范围内 49% 的调制解调器从受影响的 ISP 的自治系统编号 (ASN) 中突然删除。

虽然没有透露 ISP 的名称，但证据表明它是 Windstream，该公司在同一时间遭遇了停电，导致用户报告受影响的调制解调器显示“稳定的红灯”。

现在，几个月过去了，Lumen 的分析表明，一种名为Chalubo的商品远程访问木马 (RAT) （Sophos 于 2018 年 10 月首次记录的一种隐秘恶意软件）是此次破坏活动的罪魁祸首，攻击者选择使用它大概是为了使归因工作复杂化，而不是使用自定义工具包。

该公司表示：“Chalubo 拥有针对所有主要 SOHO/IoT 内核设计的有效载荷、执行 DDoS 攻击的预构建功能，并且可以执行发送给机器人的任何 Lua 脚本。我们怀疑恶意行为者可能利用 Lua 功能来检索破坏性有效载荷。”

尽管如此，目前尚不清楚用于入侵路由器的具体初始访问方法，但理论上它可能涉及滥用弱凭证或利用暴露的管理界面。

成功立足后，感染链会继续投放 shell 脚本，为最终旨在从外部服务器检索和启动 Chalubo 的加载程序铺平道路。该木马获取的破坏性 Lua 脚本模块尚不清楚。

此次攻击活动值得注意的一点是，它只针对单个 ASN，而其他攻击活动通常针对特定的路由器型号或常见漏洞，这增加了它是故意攻击的可能性，尽管其背后的动机尚不确定。

“此次事件史无前例，因为受影响的设备数量之多——据我们所知，没有一次攻击需要更换超过 60 万台设备，”卢门说。“此外，这种类型的攻击以前只发生过一次，当时AcidRain是主动军事入侵的前兆。”