Кибератака Pumpkin Eclipse уничтожила более 600 тысяч маршрутизаторов в США

По оценкам, более 600 000 маршрутизаторов для малых и домашних офисов (SOHO) были заблокированы и отключены от сети в результате разрушительной кибератаки, организованной неизвестными киберпреступниками, что нарушило доступ пользователей к Интернету.

Загадочное событие, произошедшее с 25 по 27 октября 2023 года и затронувшее одного интернет-провайдера (ISP) в США, получило кодовое название Pumpkin Eclipse командой Lumen Technologies Black Lotus Labs.

В частности, это затронуло три модели маршрутизаторов, выпущенные интернет-провайдером: ActionTec T3200, ActionTec T3260 и Sagemcom.

Отключение является значительным, не в последнюю очередь потому, что оно привело к внезапному удалению 49% всех модемов из номера автономной системы (ASN) пострадавшего интернет-провайдера в течение определённого периода времени.

Хотя имя интернет-провайдера не разглашается, есть основания полагать, что это Windstream, у которого примерно в то же время произошел сбой, в результате чего пользователи сообщали о «постоянном красном свете», отображаемом затронутыми модемами.

Теперь, несколько месяцев спустя, анализ Lumen выявил распространённый троян удалённого доступа (RAT) под названием Chalubo – скрытое вредоносное ПО, впервые зарегистрированное Sophos в октябре 2018 года – ответственное за саботаж, причём злоумышленник выбрал его, предположительно, в попытке затруднить установление авторства, а не в качестве использования специального набора инструментов.

Точный метод первоначального доступа, использованный для взлома маршрутизаторов, в настоящее время неясен, хотя предполагается, что он мог включать злоупотребление слабыми учётными данными или использование открытого административного интерфейса.

После успешного закрепления цепочка заражения продолжает разбрасывать сценарии оболочки, которые открывают путь для загрузчика, предназначенного в конечном итоге для получения и запуска Chalubo с внешнего сервера. Деструктивный модуль сценария Lua, полученный трояном, неизвестен.

Примечательным аспектом кампании является то, что она нацелена на один ASN, в отличие от других, которые обычно нацелены на конкретную модель маршрутизатора или общую уязвимость, и это повышает вероятность того, что взлом был преднамеренно нацелен, хотя мотивы, стоящие за этим, пока не определены.

Добавлено: 1-06-2024, 04:16
0
291
Поделиться:

Подписывайтесь на «Umteh.com» в Новостях и Telegram.

Новости партнеров

Новости СМИ2

Похожие публикации


Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Наверх