Mysterieuze cyberaanval heeft meer dan 600.000 routers in de VS uitgeschakeld

Naar schatting zijn meer dan 600.000 routers voor kleine kantoren/thuiskantoren (SOHO) offline gehaald na een destructieve cyberaanval door onbekende cyberactoren, waardoor de toegang van gebruikers tot internet werd verstoord.

De mysterieuze gebeurtenis, die plaatsvond tussen 25 en 27 oktober 2023 en een enkele internetprovider (ISP) in de VS trof, heeft de codenaam gekregen Pompoenverduistering door het Lumen Technologies Black Lotus Labs-team. Het had specifiek betrekking op drie routermodellen uitgegeven door de ISP: ActionTec T3200, ActionTec T3260 en Sagemcom.

“Het incident vond plaats gedurende een periode van 72 uur tussen 25 en 27 oktober, waardoor de geïnfecteerde apparaten permanent onbruikbaar werden en een hardwarematige vervanging nodig was”, aldus het bedrijf in een technisch rapport.

De black-out is aanzienlijk, niet in de laatste plaats omdat deze leidde tot de abrupte verwijdering van 49% van alle modems uit het autonome systeemnummer (ASN) van de getroffen ISP gedurende deze periode.

Hoewel de naam van de ISP niet is bekendgemaakt, wijst bewijsmateriaal erop dat het Windstream is, dat rond dezelfde tijd een storing kreeg, waardoor gebruikers meldden dat de getroffen modems een “constant rood licht” vertoonden.

Nu, maanden later, heeft de analyse van Lumen onthuld dat een commodity remote access trojan (RAT) genaamd Chalubo – een sluipende malware die voor het eerst werd gedocumenteerd door Sophos in oktober 2018 – verantwoordelijk is voor de sabotage, waarbij de tegenstander er vermoedelijk voor heeft gekozen in een poging de toeschrijving te compliceren. inspanningen in plaats van een aangepaste toolkit te gebruiken.

“Chalubo heeft payloads die zijn ontworpen voor alle grote SOHO/IoT-kernels, vooraf gebouwde functionaliteit om DDoS-aanvallen uit te voeren en kan elk Lua-script uitvoeren dat naar de bot wordt gestuurd”, aldus het bedrijf. “We vermoeden dat de Lua-functionaliteit waarschijnlijk door de kwaadwillende actor is gebruikt om de destructieve lading op te halen.”

Dat gezegd hebbende, is de exacte initiële toegangsmethode die werd gebruikt om de routers te doorbreken momenteel onduidelijk, hoewel er wordt getheoretiseerd dat dit mogelijk gepaard ging met misbruik van zwakke inloggegevens of misbruik van een blootgelegde administratieve interface.

Zodra de infectieketen succesvol voet aan de grond heeft gekregen, gaat hij verder met het verwijderen van shell-scripts die de weg vrijmaken voor een lader die uiteindelijk is ontworpen om Chalubo op te halen en te starten vanaf een externe server. De destructieve Lua-scriptmodule die door de trojan wordt opgehaald, is onbekend.

Een opmerkelijk aspect van de campagne is dat deze zich richt op één enkele ASN, in tegenstelling tot andere die zich doorgaans richten op een specifiek routermodel of een veel voorkomende kwetsbaarheid, waardoor de mogelijkheid ontstaat dat deze opzettelijk is gericht, hoewel de motivaties erachter nog onbepaald zijn.

“De gebeurtenis was ongekend vanwege het aantal getroffen eenheden – geen enkele aanval die we ons kunnen herinneren heeft de vervanging van meer dan 600.000 apparaten noodzakelijk gemaakt”, aldus Lumen. “Bovendien heeft dit type aanval slechts één keer eerder plaatsgevonden, waarbij AcidRain werd gebruikt als voorloper van een actieve militaire invasie.”

Thijs Van der Does