CÔNG NGHỆ

Malware bí ẩn phá hủy hơn 600.000 router trong vòng 72 giờ.

Chuyên gia vẫn chưa hiểu cách hoạt động của phần mềm độc hại này cho đến thời điểm hiện tại.

Một mạng botnet mang tên "Pumpkin Eclipse" đã tiến hành một cuộc tấn công bí ẩn vào năm 2023, khiến hơn 600.000 router internet văn phòng và gia đình bị hỏng, gây gián đoạn đáng kể trong việc truy cập internet của người dùng.

Theo các chuyên gia bảo mật tại Black Lotus Labs thuộc Lumen, đã xảy ra sự cố gián đoạn trên nhiều bang ở khu vực Trung Tây của Hoa Kỳ từ ngày 25 đến ngày 27 tháng 10 năm 2023. Sự cố này đã đẩy các chủ sở hữu của các thiết bị bị nhiễm malware phải thay thế router mới.

Dù sự cố đã xảy ra trên quy mô lớn, tác động của nó chỉ tập trung vào một nhà cung cấp dịch vụ internet (ISP) duy nhất sử dụng 3 mẫu router: ActionTec T3200s, ActionTec T3260s và Sagemcom F5380.

Malware bí ẩn phá hủy hơn 600.000 router trong vòng 72 giờ.

Black Lotus Labs cho biết một nhà cung cấp dịch vụ internet cụ thể đã phục vụ các cộng đồng dễ bị tổn thương ở Hoa Kỳ và đã chịu giảm 49% số lượng modem hoạt động do sự cố "Pumpkin Eclipse". Mặc dù Black Lotus không tiết lộ tên của nhà mạng, sự việc này rất giống với sự cố xảy ra với nhà mạng Windstream cùng thời điểm.

Từ ngày 25 tháng 10 năm 2023, các khách hàng của Windstream đã báo cáo trên mạng Reddit rằng router của họ đã ngừng hoạt động.

Một thời gian qua, tôi đã sử dụng modem T3200 và ngày hôm nay, tôi đang gặp phải tình huống mà trước đây chưa bao giờ xảy ra. Đèn internet trên modem đang sáng màu đỏ. Tôi muốn biết điều này ý nghĩa gì và làm sao để khắc phục vấn đề này? - một người dùng đã chia sẻ trên diễn đàn subreddit của Windstream.

Mạng internet của tôi gặp sự cố vào khoảng 9 giờ tối hôm qua, tôi đã để qua cho đến khi có thời gian kiểm tra vào chiều nay. Sau khi sử dụng chatbot (và không thấy phản hồi từ T3200 khi khôi phục cài đặt gốc), rõ ràng vấn đề nằm ở router," một người dùng khác chia sẻ.

Malware bí ẩn phá hủy hơn 600.000 router trong vòng 72 giờ.

Các người dùng bị ảnh hưởng bởi sự cố của Windstream đã được thông báo rằng họ cần phải thay thế router để khôi phục truy cập internet. Windstream không có bình luận khi được liên hệ về sự cố, theo như BleepingComputer.

Cuộc tấn công của Pumpkin Eclipse

Sau bảy tháng, một báo cáo mới từ Black Lotus đã giải đáp sự cố này, chỉ ra rằng một botnet đã tấn công và phá hủy 600.000 router trên các bang Trung Tây do một ISP duy nhất vào tháng 10 năm 2023.

Black Lotus Labs của Lumen Technologies đã phát hiện một sự cố tàn phá, khi hơn 600.000 router tại văn phòng/hộ gia đình (SOHO) bị hỏng, thuộc về một nhà cung cấp dịch vụ internet (ISP). Sự cố diễn ra trong khoảng 72 giờ từ ngày 25 đến 27 tháng 10 năm 2023, khiến các thiết bị bị nhiễm và không thể sử dụng, phải được thay thế bằng phần cứng. Dữ liệu công khai xác nhận việc loại bỏ đột ngột và hoàn toàn 49% các modem khỏi hệ thống đánh số tự động của ISP bị ảnh hưởng trong thời gian này.

Malware bí ẩn phá hủy hơn 600.000 router trong vòng 72 giờ.

Trong vòng 3 ngày, số lượng router trong hệ thống của nhà mạng này đã giảm đáng kể và biến mất do cuộc tấn công xảy ra.

Tuy nhiên, các chuyên gia nghiên cứu không thể xác định được điểm yếu đã được sử dụng để tấn công, do đó, người tấn công có thể đã tận dụng một lỗ hổng zero-day chưa được biết đến hoặc sử dụng thông tin đăng nhập yếu kém kết hợp với việc phơi bày giao diện quản trị.

Phần đầu tiên của tải trọng là một tập lệnh bash có tên là "get_scrpc," được thực thi để tải về một tập lệnh thứ hai được gọi là "get_strtriiush," có trách nhiệm tải và thực thi tải trọng chính của mạng botnet, mã độc "Chalubo" ("mips.elf").

Malware bí ẩn phá hủy hơn 600.000 router trong vòng 72 giờ.

Cách thức tấn công của mã độc Chalubo

Chalubo sử dụng bộ nhớ để thực thi một cách tránh bị phát hiện, và áp dụng lớp mã hóa ChaCha20 khi truyền thông với các máy chủ điều khiển và ra lệnh (C2) để đảm bảo tính bí mật của liên lạc, đồng thời xóa các tệp khỏi đĩa và thay đổi tên của quá trình đang chạy.

Kẻ tấn công có thể gửi các lệnh tới bot thông qua script Lua, từ đó có thể thu thập dữ liệu, tải xuống các module bổ sung, hoặc triển khai các payload độc hại mới trên thiết bị bị nhiễm mã độc.

Khi nhận được chỉ thị, phần mềm độc hại này sẽ thực hiện việc thực thi với độ trễ 30 phút để tránh các môi trường ảo, sau đó nó sẽ thu thập thông tin liên quan đến máy chủ như địa chỉ MAC, ID thiết bị, loại thiết bị, phiên bản thiết bị và địa chỉ IP cục bộ.

Chalubo được sử dụng để thực hiện tấn công DDoS, cho thấy mục đích hoạt động của nhóm hacker Pumpkin Eclipse. Tuy nhiên, Black Lotus Labs không phát hiện bất kỳ cuộc tấn công DDoS nào từ botnet này.

Các chuyên gia phân tích nhận thấy rằng Chalubo không có cơ chế duy trì trên thiết bị, do đó việc khởi động lại router đã bị nhiễm sẽ gây gián đoạn hoạt động của mã độc.

Malware bí ẩn phá hủy hơn 600.000 router trong vòng 72 giờ.

Black Lotus Labs đã thông báo rằng dữ liệu từ xa của họ chỉ ra rằng Chalubo đã vận hành 45 bảng điều khiển malware, giao tiếp với hơn 650.000 địa chỉ IP riêng biệt từ ngày 3 tháng 10 đến ngày 3 tháng 11, chủ yếu tại Mỹ.

Chỉ có một trong các bảng điều khiển này được sử dụng để tấn công phá hủy và nó tập trung vào một ISP cụ thể tại Mỹ, khiến các nhà nghiên cứu của Black Lotus tin rằng kẻ tấn công đã mua bảng điều khiển Chalubo để triển khai payload phá hủy router của nhà mạng này.

Rất đáng tiếc, các nhà nghiên cứu không thể định danh được payload được dùng để tấn công vào các thiết bị định tuyến, do đó họ không thể xác định cách thức tấn công diễn ra hoặc mục đích của nó là gì.

Black Lotus Labs chú ý rằng đây là lần đầu tiên, ngoại trừ vụ "AcidRain", một hệ thống botnet chứa mã độc được điều khiển để hủy hoại các thiết bị mà nó xâm nhiễm và gây tổn thất tài chính nghiêm trọng khi buộc phải thay thế các thiết bị này.

Cùng Chuyên Mục

Google bí mật thu thập dữ liệu người dùng từ tài liệu nội bộ rò rỉ
CÔNG NGHỆ

Google bí mật thu thập dữ liệu người dùng từ tài liệu nội bộ rò rỉ

Dữ liệu nội bộ của Google bị rò rỉ, tiết lộ hàng nghìn vi phạm quyền riêng tư

iPhone 12 giảm giá thêm 600.000 đồng vào tháng 6/2024
CÔNG NGHỆ

iPhone 12 giảm giá thêm 600.000 đồng vào tháng 6/2024

iPhone 12 phiên bản 256GB đã hết hàng sau thời gian giảm giá kéo dài và hiện chỉ còn các phiên bản 64GB và 128GB. Hiện nay, Apple tiếp tục giảm giá cho iPhone 12 64GB và 128GB thêm 500.000 - 600.000 đồng, hứa hẹn mang lại cơ hội mua sắm hấp dẫn cho người tiêu dùng.

Bị lừa 6 triệu đồng, tìm cách lấy lại bị lừa thêm 600 triệu đồng trên mạng
CÔNG NGHỆ

Bị lừa 6 triệu đồng, tìm cách lấy lại bị lừa thêm 600 triệu đồng trên mạng

Cục An toàn thông tin cảnh báo về 5 tình huống lừa đảo trực tuyến đe dọa người dùng Internet.

Màn hình BenQ GW2790QT: Màn hình 2K chuyên lập trình đầu tiên trên thế giới
CÔNG NGHỆ

Màn hình BenQ GW2790QT: Màn hình 2K chuyên lập trình đầu tiên trên thế giới

Màn hình BenQ GW2790QT không chỉ hỗ trợ chế độ "Coding" mà còn tích hợp các chế độ M-Book, Game, Movie, ePaper và Standard để đáp ứng nhu cầu sử dụng đa dạng của người dùng.

Sony giới thiệu TV Bravia 2024 tích hợp vi xử lý AI và hệ điều hành Google TV
CÔNG NGHỆ

Sony giới thiệu TV Bravia 2024 tích hợp vi xử lý AI và hệ điều hành Google TV

Sony đã ra mắt dòng TV Sony Bravia phiên bản 2024 với những cải tiến vượt trội về chất lượng hình ảnh và âm thanh. Dòng sản phẩm này bao gồm Bravia 9, Bravia 8, Bravia 7 và Bravia 3, hứa hẹn mang lại trải nghiệm xem phim tuyệt vời cho người dùng.

Sự nguy của Samsung trong phân khúc smartphone màn hình gập đang gia tăng
CÔNG NGHỆ

Sự nguy của Samsung trong phân khúc smartphone màn hình gập đang gia tăng

Dự đoán rằng vào năm 2028, thị trường điện thoại màn hình gập có thể chiếm khoảng 5% thị phần của ngành công nghiệp smartphone.