美国超60万台路由器遭神秘攻击

这起神秘攻击发生在2023年10月25日至27日，影响美国的一家互联网服务提供商，被 Lumen Technologies Black Lotus Labs 团队命名为 “Pumpkin Eclipse”，它影响由该互联网服务提供商发布的三款路由器机型：ActionTec T3200、ActionTec T3260和Sagemcom。

该研究团队发布技术报告提到，“该事件发生在10月25日至27日的72小时内，导致受影响设备永久不可运营，并要求硬件替换。”该事件影响重大，不仅是因为它导致该互联网服务提供商的自治系统编号 (ASN) 的49%的所有调制解调器被突然删除。虽然该互联网服务提供商的名称并未披露，但证据表明它是 Windstream。该公司在同一时间段经历宕机，用户报告称受影响调制解调器上显示“持续红灯”。

而经过几个月后，研究人员披露了一款商用远程访问木马 (RAT) Chalubo，它是由 Sophos 公司在2018年10月率先记录的一款隐秘恶意软件，攻击者不使用自定义工具集的目的似乎是让事件归因更加难以实现。

研究人员提到，“Chalubo 为所有主流 SOHO/IoT 内核设计payload，预制功能执行DDoS攻击并可执行发送到该僵尸的任何 Lua 脚本。我们怀疑 Lua 功能可能被用于检索该破坏性 payload。”

话虽如此，目前尚不清楚用于攻陷该路由器的初始访问方法，尽管从理论上来讲可能涉及弱凭据或利用已暴露的管理接口。获得成功立足点后，该感染链会释放 shell 脚本，从而为从外部服务器检索并启动 Chalubo 的加载器铺路。该破坏性 Lua 脚本模版尚处于未知状态。

这起攻击引人注目的地方在于它仅针对单个ASN，而不是平常看到的针对特定的路由器机型或常见漏洞，因此该ASN遭针对性攻击，而目前尚不清楚攻击者的动机。研究人员提到，“从所影响的单元数量而言，这次事件是前所未有的。我们从未发现攻击者要取代超过60万台路由器。另外，这种攻击类型此前仅发生过一次，那就是 AcidRain 被用作军事入侵的先兆。”