一位用户在留言板上写道:"路由器现在只是静静地亮着红灯,"他指的是 Windstream 为他们和隔壁邻居提供的 ActionTec T3200 型路由器。"它们甚至对重置都没有反应"。
从 10 月 25 日开始的几天里,许多 Windstream 用户都在留言中报告互联网服务供应商造成了大规模瘫痪。他们说,这是公司推送的更新毒害了设备的结果。Windstream的Kinetic宽带服务在18个州拥有约160万用户,其中包括爱荷华州、阿拉巴马州、阿肯色州、佐治亚州和肯塔基州。对于许多用户来说,Kinetic 是他们与外界联系的重要纽带。
另一位用户在同一论坛上写道:"我们有 3 个孩子,都在家工作。"这让我们损失了 1500 多美元的业务,没有电视、WiFi,还要花几个小时打电话等等。一家公司可以这样对待客户而不闻不问,太可悲了"。
在最终确定路由器永久无法使用后,Windstream 向受影响的客户发送了新的路由器。黑莲实验室将此次事件命名为"南瓜日食"。
蓄意行为
安全公司 Lumen Technologies 旗下的 Black Lotus Labs 周四发布的一份报告可能会为这一事件提供新的线索,Windstream 公司尚未对此作出解释。Black Lotus 实验室的研究人员称,从 10 月 25 日开始的 72 小时内,恶意软件破坏了 60 多万台路由器,这些路由器连接到一个自治系统号(或 ASN),该自治系统号属于一家未具名的 ISP。
虽然研究人员没有指明该互联网服务提供商,但他们报告的细节与 Windstream 用户在 10 月份的信息中详细描述的细节几乎完全吻合。具体而言,大规模"舔舐"开始的日期、受影响的路由器型号、ISP 的描述以及停止运行的 ActionTec 路由器显示静态红灯的情况。Windstream 代表拒绝回答通过电子邮件发送的问题。
据 Black Lotus Labs 称,这些路由器--保守估计至少有 600000 台--是被一个动机同样不明的未知威胁行为者破坏的。该行为者故意使用名为Chalubo 的商品恶意软件,而不是定制开发的工具包来掩盖行踪。Chalubo 内置的一项功能允许行为者在受感染设备上执行自定义Lua脚本。研究人员认为,该恶意软件下载并运行的代码永久性地覆盖了路由器固件。
周四的报告指出:"我们很有信心地认为,恶意固件更新是一种蓄意行为,目的是造成网络中断,虽然我们预计互联网上会有许多路由器品牌和型号受到影响,但这一事件仅限于单一的 ASN。"
研究人员写道:
这种性质的破坏性攻击非常令人担忧,尤其是在这种情况下。该互联网服务提供商的服务区域有相当一部分覆盖了农村或服务不足的社区;在这些地方,居民可能无法获得紧急服务,农业企业可能在收获季节丢失了远程监控农作物的关键信息,医疗服务提供商也被切断了远程医疗或病人记录。不用说,在孤立或脆弱的社区,从任何供应链中断中恢复过来都需要更长的时间。
得知路由器大规模中断的消息后,Black Lotus Labs 开始在 Censys 搜索引擎上查询受影响的路由器型号。一周的快照很快显示,就在报告开始时,一个特定 ASN 的这些型号路由器下降了 49%。这相当于至少 179,000 台 ActionTec 路由器和超过 480,000 台 Sagemcom 出售的路由器断开连接。
路由器与任何 ISP 的不断连接和断开使跟踪过程变得复杂,因为不可能知道路由器的消失是正常流失的结果还是更复杂的原因。黑莲实验室称,据保守估计,在其追踪到的断开连接事件中,至少有 60 万起是 Chaluba 感染设备并永久清除其固件的结果。
确定 ASN 后,Black Lotus Labs 发现了在路由器上安装 Chaluba 的复杂多路径感染机制。下图提供了逻辑概述。
以研究人员目睹的方式大规模清除路由器的恶意软件并没有多少已知先例。最接近的可能是 2022 年发现的AcidRain,该恶意软件曾导致卫星互联网提供商 Viasat 的 10000 台调制解调器瘫痪。乌克兰和欧洲其他地区遭受的这次网络中断与俄罗斯入侵这个较小邻国的时间相吻合。
Black Lotus 实验室的一位代表在接受采访时说,研究人员不能排除影响互联网服务提供商的路由器擦除事件背后是一个民族国家。但到目前为止,研究人员还没有发现这些攻击与他们追踪的任何已知民族国家组织有任何重叠。
研究人员尚未确定感染路由器的最初手段。虽然研究人员说他们不知道受影响路由器中存在任何已知漏洞,但威胁者有可能利用了漏洞。其他可能的情况是,威胁者滥用了弱凭据或访问了暴露的管理面板。
与众不同的攻击
虽然研究人员以前分析过针对家庭和小型办公室路由器的攻击,但他们说,有两件事让这次攻击与众不同。他们解释说:
首先,这次攻击导致了受影响设备的硬件更换,这很可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量之多,这次事件是史无前例的--在我们的印象中,还没有哪次攻击需要更换超过 60 万台设备。此外,这种类型的攻击以前只发生过一次,AcidRain 被用作主动军事入侵的前兆。
他们继续说道:
第二个独特之处是,这次活动仅限于特定的 ASN。我们以前看到的大多数活动都是针对特定的路由器型号或常见漏洞,并在多个提供商的网络中产生影响。在这种情况下,我们观察到 Sagemcom 和 ActionTec 设备同时受到影响,而且都是在同一供应商的网络中。这使我们评估这不是单一制造商固件更新错误的结果,因为固件更新通常仅限于特定公司的一种或多种设备型号。我们对 Censys 数据的分析表明,受影响的只有这两种型号。综合上述因素,我们得出结论:尽管我们无法恢复破坏性模块,但该事件很可能是未归属的恶意网络行为者蓄意采取的行动。
由于不清楚这些路由器是如何被感染的,研究人员只能提供一些常见的通用建议,以防止此类设备受到恶意软件的感染。这包括安装安全更新、用强密码替换默认密码和定期重启。互联网服务提供商和其他管理路由器的组织应遵循额外的建议,确保管理设备的管理界面的安全。
周四的报告包括 IP 地址、域名和其他指标,人们可以用它们来确定自己的设备是否已成为攻击目标或受到攻击。