2023年に正体不明のハッカー集団が米国の電気通信会社に対して大規模なサイバー攻撃を実行し、60万台以上のインターネットルーターが機能停止になったと伝えられている。
Lumen Technologies の Black Lotus Labs が発表した新しいレポートの中で、セキュリティ研究者らは、ここ数カ月で発見された謎の攻撃は 2023 年 10 月下旬に発生したと主張しています。
単一のインターネット サービス プロバイダー (ISP) に属する 600,000 台を超えるスモール オフィス/ホーム オフィス (SOHO) ルーターがオフラインになりました。
報告書によると、この事件は2023年10月25日から27日までの72時間にわたって米国の複数の州で発生した。この影響を受けるのは、ISP が発行した 3 つのルーター モデル (ActionTec T3200、ActionTec T3260、および Sagemcom F5380) です。
Lumen Technologies の Black Lotus Labs チームによってコード名「Pumpkin Eclipse」と名付けられたこの謎の出来事により、感染したデバイスは永久に動作不能になり、ハードウェア ベースの交換が必要になりました。
この期間中、全モデムの 49% が、影響を受けた ISP の自律システム番号 (ASN) から突然削除されました。
「[脆弱性警告プラットフォーム] OpenCVE for ActionTec でこれらのモデルに影響を与えるエクスプロイトを検索したところ、問題の 2 つのモデルについては何もリストされておらず、脅威アクターが脆弱な資格情報を悪用したか、公開された管理インターフェイスを悪用した可能性が高いことを示唆しています」と Black Lotus の研究者は述べています。言ったブログ投稿で。
Black Lotus Labs は影響を受けた ISP の名前を明らかにしていないが、彼らが報告している詳細は、同時期に障害が発生したアーカンソーに拠点を置く ISP プロバイダー Windstream と一致している。 2023 年 10 月 25 日以降、Windstream 加入者は、ルーターが「静的な赤いライト」を表示していると Reddit で報告し始めました。
リモート修正が不可能だったため、Windstream の顧客は、インターネット アクセスを復元するために、無効になったルーターを返却して新しいデバイスに交換するよう求められました。概算で少なくとも 600,000 台のルーターが、未知の攻撃者によってオフラインにされました。
数か月後の今、Lumen の分析により、2018 年 10 月にソフォスによって最初に文書化されたコモディティ リモート アクセス トロイの木馬 (RAT) である「Chalubo」が、上記のイベントの原因となる主要なペイロードであることが特定されました。ルーターの動作コードの要素が削除され、事実上動作不能になりました。
どうやら、Chalubo に組み込まれた機能により、攻撃者は感染したデバイス上で Lua スクリプト機能を実行できるようになったようです。研究者らは、ダウンロードされたマルウェアがルーターのファームウェアを永久に上書きするコードを実行したと考えています。
Lumen は、未知の脆弱性、脆弱な認証情報、または公開された管理インターフェイスへのアクセスによるものであっても、攻撃の背後にいるのは誰であるか、ファームウェアのアップデートが影響を受けるすべての顧客にどのように配布されたかについて、詳細を明らかにしていません。
研究者らによると、攻撃の潜在的な結果は深刻になる可能性があります。
「私たちは、悪意のあるファームウェアのアップデートは、機能停止を引き起こすことを目的とした意図的な行為であると高い確信を持って評価しています。この種の破壊的な攻撃は、特に今回の場合、非常に懸念されます。
この ISP のサービスエリアのかなりの部分は、田舎またはサービスが十分に受けられていないコミュニティをカバーしています。住民が緊急サービスにアクセスできなくなった可能性がある場所、農業への懸念により収穫中の作物の遠隔監視から重要な情報が失われた可能性があり、医療提供者は遠隔医療や患者の記録から遮断されている」とルーメンの研究者らは報告書の中で述べた。
Black Lotus Labs は破壊的なモジュールを回復できませんでしたが、今後の攻撃を防ぐために活動を監視しています。
SOHOルーターを管理する組織には共通のデフォルトパスワードに依存しないこと、SOHOルーターを使用している顧客には定期的にルーターを再起動し、セキュリティアップデートやパッチをインストールすることを推奨している。
