Một mạng botnet mang tên "Pumpkin Eclipse" đã tiến hành một cuộc tấn công bí ẩn vào năm 2023, khiến hơn 600.000 router internet văn phòng và gia đình bị hỏng, gây gián đoạn đáng kể trong việc truy cập internet của người dùng.
Theo các chuyên gia bảo mật tại Black Lotus Labs thuộc Lumen, đã xảy ra sự cố gián đoạn trên nhiều bang ở khu vực Trung Tây của Hoa Kỳ từ ngày 25 đến ngày 27 tháng 10 năm 2023. Sự cố này đã đẩy các chủ sở hữu của các thiết bị bị nhiễm malware phải thay thế router mới.
Dù sự cố đã xảy ra trên quy mô lớn, tác động của nó chỉ tập trung vào một nhà cung cấp dịch vụ internet (ISP) duy nhất sử dụng 3 mẫu router: ActionTec T3200s, ActionTec T3260s và Sagemcom F5380.
Black Lotus Labs cho biết một nhà cung cấp dịch vụ internet cụ thể đã phục vụ các cộng đồng dễ bị tổn thương ở Hoa Kỳ và đã chịu giảm 49% số lượng modem hoạt động do sự cố "Pumpkin Eclipse". Mặc dù Black Lotus không tiết lộ tên của nhà mạng, sự việc này rất giống với sự cố xảy ra với nhà mạng Windstream cùng thời điểm.
Từ ngày 25 tháng 10 năm 2023, các khách hàng của Windstream đã báo cáo trên mạng Reddit rằng router của họ đã ngừng hoạt động.
Một thời gian qua, tôi đã sử dụng modem T3200 và ngày hôm nay, tôi đang gặp phải tình huống mà trước đây chưa bao giờ xảy ra. Đèn internet trên modem đang sáng màu đỏ. Tôi muốn biết điều này ý nghĩa gì và làm sao để khắc phục vấn đề này? - một người dùng đã chia sẻ trên diễn đàn subreddit của Windstream.
Mạng internet của tôi gặp sự cố vào khoảng 9 giờ tối hôm qua, tôi đã để qua cho đến khi có thời gian kiểm tra vào chiều nay. Sau khi sử dụng chatbot (và không thấy phản hồi từ T3200 khi khôi phục cài đặt gốc), rõ ràng vấn đề nằm ở router," một người dùng khác chia sẻ.
Các người dùng bị ảnh hưởng bởi sự cố của Windstream đã được thông báo rằng họ cần phải thay thế router để khôi phục truy cập internet. Windstream không có bình luận khi được liên hệ về sự cố, theo như BleepingComputer.
Cuộc tấn công của Pumpkin Eclipse
Sau bảy tháng, một báo cáo mới từ Black Lotus đã giải đáp sự cố này, chỉ ra rằng một botnet đã tấn công và phá hủy 600.000 router trên các bang Trung Tây do một ISP duy nhất vào tháng 10 năm 2023.
Black Lotus Labs của Lumen Technologies đã phát hiện một sự cố tàn phá, khi hơn 600.000 router tại văn phòng/hộ gia đình (SOHO) bị hỏng, thuộc về một nhà cung cấp dịch vụ internet (ISP). Sự cố diễn ra trong khoảng 72 giờ từ ngày 25 đến 27 tháng 10 năm 2023, khiến các thiết bị bị nhiễm và không thể sử dụng, phải được thay thế bằng phần cứng. Dữ liệu công khai xác nhận việc loại bỏ đột ngột và hoàn toàn 49% các modem khỏi hệ thống đánh số tự động của ISP bị ảnh hưởng trong thời gian này.
Trong vòng 3 ngày, số lượng router trong hệ thống của nhà mạng này đã giảm đáng kể và biến mất do cuộc tấn công xảy ra.
Tuy nhiên, các chuyên gia nghiên cứu không thể xác định được điểm yếu đã được sử dụng để tấn công, do đó, người tấn công có thể đã tận dụng một lỗ hổng zero-day chưa được biết đến hoặc sử dụng thông tin đăng nhập yếu kém kết hợp với việc phơi bày giao diện quản trị.
Phần đầu tiên của tải trọng là một tập lệnh bash có tên là "get_scrpc," được thực thi để tải về một tập lệnh thứ hai được gọi là "get_strtriiush," có trách nhiệm tải và thực thi tải trọng chính của mạng botnet, mã độc "Chalubo" ("mips.elf").
Cách thức tấn công của mã độc Chalubo
Chalubo sử dụng bộ nhớ để thực thi một cách tránh bị phát hiện, và áp dụng lớp mã hóa ChaCha20 khi truyền thông với các máy chủ điều khiển và ra lệnh (C2) để đảm bảo tính bí mật của liên lạc, đồng thời xóa các tệp khỏi đĩa và thay đổi tên của quá trình đang chạy.
Kẻ tấn công có thể gửi các lệnh tới bot thông qua script Lua, từ đó có thể thu thập dữ liệu, tải xuống các module bổ sung, hoặc triển khai các payload độc hại mới trên thiết bị bị nhiễm mã độc.
Khi nhận được chỉ thị, phần mềm độc hại này sẽ thực hiện việc thực thi với độ trễ 30 phút để tránh các môi trường ảo, sau đó nó sẽ thu thập thông tin liên quan đến máy chủ như địa chỉ MAC, ID thiết bị, loại thiết bị, phiên bản thiết bị và địa chỉ IP cục bộ.
Chalubo được sử dụng để thực hiện tấn công DDoS, cho thấy mục đích hoạt động của nhóm hacker Pumpkin Eclipse. Tuy nhiên, Black Lotus Labs không phát hiện bất kỳ cuộc tấn công DDoS nào từ botnet này.
Các chuyên gia phân tích nhận thấy rằng Chalubo không có cơ chế duy trì trên thiết bị, do đó việc khởi động lại router đã bị nhiễm sẽ gây gián đoạn hoạt động của mã độc.
Black Lotus Labs đã thông báo rằng dữ liệu từ xa của họ chỉ ra rằng Chalubo đã vận hành 45 bảng điều khiển malware, giao tiếp với hơn 650.000 địa chỉ IP riêng biệt từ ngày 3 tháng 10 đến ngày 3 tháng 11, chủ yếu tại Mỹ.
Chỉ có một trong các bảng điều khiển này được sử dụng để tấn công phá hủy và nó tập trung vào một ISP cụ thể tại Mỹ, khiến các nhà nghiên cứu của Black Lotus tin rằng kẻ tấn công đã mua bảng điều khiển Chalubo để triển khai payload phá hủy router của nhà mạng này.
Rất đáng tiếc, các nhà nghiên cứu không thể định danh được payload được dùng để tấn công vào các thiết bị định tuyến, do đó họ không thể xác định cách thức tấn công diễn ra hoặc mục đích của nó là gì.
Black Lotus Labs chú ý rằng đây là lần đầu tiên, ngoại trừ vụ "AcidRain", một hệ thống botnet chứa mã độc được điều khiển để hủy hoại các thiết bị mà nó xâm nhiễm và gây tổn thất tài chính nghiêm trọng khi buộc phải thay thế các thiết bị này.
