數十萬用戶受創 無差別攻擊SOHO路由器
編譯/Cynthia
2023年10月下旬,美國一家網路服務提供商(ISP)遭遇一場網路攻擊,這次攻擊造成超過60萬台小型及家庭型辦公室(SOHO)路由器永久癱瘓,影響數十萬用戶網路連線。此次事件由Lumen Technologies電信公司的Black Lotus Labs團隊所命名,他們將其稱為「Pumpkin Eclipse」,被攻擊對象包括三款特定路由器型號,ActionTec T3200、ActionTec T3260和Sagemcom,這次攻擊的規模和影響引起網路安全領域的廣泛關注與擔憂。
攻擊流程
根據Lumen的技術報告,攻擊者使用一款名為Chalubo的遠端存取木馬(RAT)進行攻擊。Chalubo首次於2018年10月被Sophos發現,它是一種隱匿的惡意軟體,具有攻擊所有主要SOHO或IoT(物聯網)核心的能力。攻擊者透過弱密碼或暴露的管理介面入侵這些路由器,成功入侵後,攻擊手法包括放置shell腳本,最後下載並啟動Chalubo,之後Chalubo從外部伺服器獲取一個未知的Lua腳本模組,用以執行破壞性操作,直接導致設備永久癱瘓。
影響與後果
這次攻擊對網路供應商造成了相當嚴重的影響,導致該ISP自動系統編號(ASN)中49%的調製解調器被移除,擾亂數十萬用戶網路連線。雖然ISP名稱未曝光,但根據證據顯示可能是Windstream,因為該公司在同一時段內收到大量用戶報告調製解調器出現「持續紅燈」的問題。這次攻擊對ISP運營造成嚴重衝擊,迫使其急需更換受影響的設備並加強安全措施。
動機仍未解
這次攻擊的動機尚未確定,不同於以往針對特定路由器型號或常見漏洞的攻擊,這次攻擊專注於單一的ASN,顯示可能是有意的目標性攻擊。攻擊者的具體動機和入侵方法仍在調查中,更多資訊仍待揭曉。這次事件引發網路安全領域對攻擊者意圖的猜測,顯示深入調查和應對網路安全威脅的重要性。
資料來源:The Hacker News
瀏覽 489 次