Тыквенное затмение: масштабная кибератака вывела из строя 600 000 Wi-Fi роутеров

Масштабная кибератака практически вывела из строя сотни тысяч интернет-роутеров на территории центральных штатов США в конце прошлого года. Согласно исследованию Black Lotus Labs , злоумышленники использовали простые, но крайне действенные методы для ухода от обнаружения. Вредоносный код продолжал распространяться в сети даже спустя месяцы после атаки, так как ссылки на вредоносные файлы оставались открытыми в интернете.

Аналитики из компании Lumen Technologies выявили инцидент в последние месяцы и рассказали о нем в своем блоге, обозначив как «Pumpkin Eclipse» (тыквенное затмение). Октябрьский взлом, о котором не сообщалось более полугода, привел к отключению свыше 600 тысяч интернет-роутеров. Независимые эксперты считают эту кибератаку одной из самых серьезных, когда-либо затрагивавших американский телекоммуникационный сектор, с учетом количества отключенных устройств и числа пострадавших пользователей.

В отчете не называется пострадавшая компания, равно как и конкретная страна или группировка, которой приписывается взлом. Вероятно, злоумышленников в основном интересовали роутеры двух конкретных моделей - T3200 и T3260 от ActionTec.

Роутеры были выведены из строя вредоносным обновлением прошивки, которое рассылалось клиентам определенной компании и удаляло части операционного кода устройств после установки. Метод доставки обновления остается неясным.

Однако в ходе анализа было установлено, что основным инструментом, использованным в атаке, был Chalubo, известный троян удаленного доступа (RAT). Впервые обнаруженный в 2018 году, он крайне умело маскирует свою активность: удаляет все файлы с диска, принимает случайное имя процесса, уже существующего на устройстве, и шифрует все коммуникации с командным сервером. Это объясняет, почему о семействе вредоносных программ Chalubo до настоящего времени было известно очень немного.

По данным глобальной телеметрии Lumen, вредоносное ПО Chalubo было особенно активно в ноябре 2023 года. За 30-дневный период в октябре Lumen зафиксировала более 330 тысяч уникальных IP-адресов, которые взаимодействовали с одним из 75 наблюдаемых командных серверов в течение как минимум двух дней. Можно предположить, что хотя троян использовался в атаке на роутеры, он не был написан конкретно для этих целей. Скорее всего, злоумышленники выбрали широко известное ПО, чтобы усложнить определение их личности и избежать атрибуции атаки, вместо того чтобы использовать специально разработанные инструменты.

Сопоставление деталей и описаний событий в отчете Lumen с перебоями в работе интернета в указанные даты позволяет предположить, что объектом нападения стал базирующийся в Арканзасе интернет-провайдер Windstream. Его представитель отказался комментировать ситуацию. Помимо жалоб пользователей на Reddit, в соцсетях практически не было публичных сведений о произошедшем. Вероятно, Windstream намеренно не обнародовала информацию о взломе – частные компании нередко предпочитают сохранять крупные инциденты в тайне.

ФБР, АНБ и Департамент внутренней безопасности США не подтвердили эту информацию, перенаправив все запросы в ФБР. Возможно, расследование ведется, но детали не разглашаются.

Исследователи охарактеризовали потенциальные последствия атаки как крайне серьезные: "Зона охвата включает многие сельские районы и малоимущие населенные пункты. Их жители могли потерять связь с экстренными службами, аграрные предприятия - контроль над процессом сбора урожая, а медики - доступ к телемедицинским сервисам и данным пациентов".

В октябре пользователи Reddit сообщали, что их роутеры не могли подключиться к интернет-провайдеру, из-за чего полностью терялся доступ в сеть. По их словам, Windstream тогда потребовала вернуть вышедшие из строя устройства для замены новыми, поскольку восстановить их удаленно, по всей видимости, было невозможно.