本文来自微信公众号“GoUpSec”。
本周四,Lumen Technologies的黑莲花实验室(Black Lotus Labs)发布报告披露了去年底发生在美国的一次超大规模电信网络破坏事件,黑客在72小时内瘫痪了某互联网接入服务商的超过60万台家庭/家庭办公室(SOHO)路由器,这些“变砖”的路由器无法修复,导致大量用户被迫进行硬件更换。
60万台路由器在72小时内变砖
2023年10月的一天,美国互联网服务提供商Windstream的大量用户突然发现路由器无法工作。这个问题迅速在网络论坛上引发讨论,许多用户报告他们的ActionTec T3200路由器突然死机,重启和重置都无济于事。
Windstream的Kinetic宽带服务在美国18个州拥有大约160万订户,对许多家庭和企业来说至关重要。一位用户在论坛上写道:“我们有三个孩子,都在家工作,这次事件让我们损失了1500多美元的业务,没有电视、WiFi,花费了数小时在电话上。”
公共扫描数据显示,在事件期间,Windstream的自主系统号(ASN)下接近半数(49%)的路由器被攻击下线。这次攻击对农村和偏远社区影响尤其严重,导致紧急服务中断、农业监控信息丢失和远程医疗服务中断等。
经过调查,Windstream发现这些路由器已经无法修复,并向受影响的用户发送了新路由器。黑莲花实验室(Black Lotus Labs)称这次事件为“南瓜月蚀”。根据黑莲花实验室的报告,这次事件导致超过60万台路由器在72小时内“变砖”,堪称史上最大规模的电信网络破坏事件,远超俄乌战争期间针对欧洲卫星网络的AcidRain攻击事件(破坏了1万台卫星接收调制解调器)。
攻击者不是国家黑客
黑莲花实验室的研究人员认为,这次事件中黑客使用了商品恶意软件Chalubo,这种恶意软件能够执行自定义Lua脚本,永久覆盖路由器固件。研究者确信,这次恶意固件的批量更新是故意行为,目的就是为了导致大规模宕机。
黑莲花实验室通过全球遥测数据发现,Chalubo恶意软件在2023年11月和2024年初非常活跃。在10月的一个30天快照中,发现超过33万个独立IP地址与75个已知C2节点通信至少两天,表明感染情况非常严重。与常见的僵尸网络不同,95%的感染设备只与一个C2控制面板通信,研究人员认为这表明事件背后的实体具有不同的操作孤岛。
黑莲花实验室绘制了事件发生时间范围内的IP地址及其对应的国家/地区,并生成了以下热图:
2023年10月Chalubo机器人IP地址分布情况来源:黑莲花实验室
研究人员还发现,Chalubo使用了复杂的多路径感染机制(下图),并通过ChaCha20加密与C2服务器通信,进一步隐藏其活动。这种恶意软件不仅具有DDoS攻击功能,还能执行任意Lua脚本,从而在受感染设备上运行恶意代码。
Chaluba的复杂多路径感染机制来源:黑莲花实验室
虽然此次攻击破坏了创记录的60万台设备,但是黑莲花实验室并不认为幕后黑手是国家黑客或国家支持的实体所为(但并不排除)。研究者表示没有观察到与已知破坏性国家黑客活动(例如Volt Typhoon或SeaShell Blizzard)的任何交集。
研究者表示,这次针对家庭和小型办公室路由器的大规模攻击事件在整个网络安全历史中都是极为独特的:“首先,此次攻击活动导致受影响设备报废需要进行硬件更换,这可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量众多,此次事件是史无前例的——据我们所知,历史上没有任何一次网络攻击会导致60万台设备报废更换。此外,这种类型的攻击以前只发生过一次——俄乌战争前夕针对欧洲卫星网络的AcidRain攻击,但那次攻击被看作是军事入侵的前兆,而且规模也小得多。”
最后,由于不清楚路由器最初是如何被感染的,研究人员只为家庭和SOHO路由器用户提供了一些通用安全建议,包括安装安全更新、用强密码替换默认密码以及定期重启路由器等。同时,ISP和企业也应确保管理界面的安全。