Über 600.000 Router in den USA durch mysteriösen Cyberangriff lahmgelegt

Über 600.000 Router für kleine Büros und Heimbüros (SOHO) in den USA wurden durch einen Cyberangriff unbekannter Angreifer funktionsunfähig gemacht, wodurch der Internetzugang vieler Benutzer unterbrochen wurde. Dieses bedeutende Ereignis, das sich zwischen dem 25. und 27. Oktober 2023 ereignete, wurde vom Team der Black Lotus Labs von Lumen Technologies als „Pumpkin Eclipse“ bezeichnet. Der Angriff zielte auf drei bestimmte Routermodelle – ActionTec T3200, ActionTec T3260 und Sagemcom –, die von einem nicht genannten Internetdienstanbieter (ISP) bereitgestellt wurden.

Während des 72-stündigen Angriffszeitraums wurden die kompromittierten Router dauerhaft beschädigt, was einen Hardwareaustausch erforderlich machte. Dieser Vorfall führte zum Verlust von 49 % aller Modems, die mit der autonomen Systemnummer (ASN) des ISPs verbunden waren. Obwohl die Identität des ISPs nicht offiziell bestätigt wurde, wird Windstream aufgrund eines entsprechenden Ausfalls und Benutzerberichten über betroffene Modems verdächtigt, die ein „dauerhaft rotes Licht“ anzeigten.

Die anschließende Untersuchung von Lumen identifizierte den handelsüblichen Remote Access Trojaner (RAT) namens Chalubo als Täter hinter dem Angriff. Chalubo, der erstmals im Oktober 2018 von Sophos entdeckt wurde, ist dafür bekannt, dass er eine Vielzahl von SOHO/IoT-Kerneln angreifen, DDoS-Angriffe durchführen und Lua-Skripte ausführen kann. Es scheint, dass die Angreifer Chalubo verwendet haben, um die Zuordnung zu erschweren, anstatt ein benutzerdefiniertes Tool zu verwenden. Die genaue Methode, mit der der erste Zugriff auf die Router erlangt wurde, bleibt unklar, obwohl möglicherweise schwache Anmeldeinformationen oder offengelegte Verwaltungsschnittstellen verwendet wurden.

Nachdem der Zugriff gesichert war, setzte die Malware Shell-Skripte ein, um Chalubo von einem externen Server herunterzuladen und zu starten, darunter ein zerstörerisches Lua-Skriptmodul. Der Fokus dieser Kampagne auf eine einzelne ASN ist ungewöhnlich, da die meisten Angriffe auf bestimmte Routermodelle oder allgemeine Schwachstellen abzielen, was auf ein gezieltes und spezifisches Ziel hindeutet, obwohl die Motive der Angreifer unbekannt bleiben.

Lumen betonte das beispiellose Ausmaß dieses Angriffs und wies darauf hin, dass bei keinem früheren Vorfall der Austausch von über 600.000 Geräten erforderlich gewesen sei. Ein vergleichbares Ereignis war der AcidRain- Angriff, der einer aktiven militärischen Invasion vorausging , was die Schwere und Einzigartigkeit des Pumpkin Eclipse-Vorfalls unterstreicht.