本周四，Lumen Technologies的黑蓮花實(shí)驗(yàn)室（Black Lotus Labs）發(fā)布報(bào)告披露了去年底發(fā)生在美國的一次超大規(guī)模電信網(wǎng)絡(luò)破壞事件，黑客在72小時(shí)內(nèi)癱瘓了某互聯(lián)網(wǎng)接入服務(wù)商的超過60萬臺家庭/家庭辦公室（SOHO）路由器，這些“變磚”的路由器無法修復(fù)，導(dǎo)致大量用戶被迫進(jìn)行硬件更換。

60萬臺路由器在72小時(shí)內(nèi)變磚

2023年10月的一天，美國互聯(lián)網(wǎng)服務(wù)提供商Windstream的大量用戶突然發(fā)現(xiàn)路由器無法工作。這個(gè)問題迅速在網(wǎng)絡(luò)論壇上引發(fā)討論，許多用戶報(bào)告他們的ActionTec T3200路由器突然死機(jī)，重啟和重置都無濟(jì)于事。

Windstream的Kinetic寬帶服務(wù)在美國18個(gè)州擁有大約160萬訂戶，對許多家庭和企業(yè)來說至關(guān)重要。一位用戶在論壇上寫道：“我們有三個(gè)孩子，都在家工作，這次事件讓我們損失了1500多美元的業(yè)務(wù)，沒有電視、WiFi，花費(fèi)了數(shù)小時(shí)在電話上?！?/p>

公共掃描數(shù)據(jù)顯示，在事件期間，Windstream的自主系統(tǒng)號（ASN）下接近半數(shù)（49%）的路由器被攻擊下線。這次攻擊對農(nóng)村和偏遠(yuǎn)社區(qū)影響尤其嚴(yán)重，導(dǎo)致緊急服務(wù)中斷、農(nóng)業(yè)監(jiān)控信息丟失和遠(yuǎn)程醫(yī)療服務(wù)中斷等。

經(jīng)過調(diào)查，Windstream發(fā)現(xiàn)這些路由器已經(jīng)無法修復(fù)，并向受影響的用戶發(fā)送了新路由器。黑蓮花實(shí)驗(yàn)室（Black Lotus Labs）稱這次事件為“南瓜月蝕”。根據(jù)黑蓮花實(shí)驗(yàn)室的報(bào)告，這次事件導(dǎo)致超過60萬臺路由器在72小時(shí)內(nèi)“變磚”，堪稱史上最大規(guī)模的電信網(wǎng)絡(luò)破壞事件，遠(yuǎn)超俄烏戰(zhàn)爭期間針對歐洲衛(wèi)星網(wǎng)絡(luò)的AcidRain攻擊事件（破壞了1萬臺衛(wèi)星接收調(diào)制解調(diào)器）。

攻擊者不是國家黑客

黑蓮花實(shí)驗(yàn)室的研究人員認(rèn)為，這次事件中黑客使用了商品惡意軟件Chalubo，這種惡意軟件能夠執(zhí)行自定義Lua腳本，永久覆蓋路由器固件。研究者確信，這次惡意固件的批量更新是故意行為，目的就是為了導(dǎo)致大規(guī)模宕機(jī)。

黑蓮花實(shí)驗(yàn)室通過全球遙測數(shù)據(jù)發(fā)現(xiàn)，Chalubo惡意軟件在2023年11月和2024年初非?；钴S。在10月的一個(gè)30天快照中，發(fā)現(xiàn)超過33萬個(gè)獨(dú)立IP地址與75個(gè)已知C2節(jié)點(diǎn)通信至少兩天，表明感染情況非常嚴(yán)重。與常見的僵尸網(wǎng)絡(luò)不同，95%的感染設(shè)備只與一個(gè)C2控制面板通信，研究人員認(rèn)為這表明事件背后的實(shí)體具有不同的操作孤島。

黑蓮花實(shí)驗(yàn)室繪制了事件發(fā)生時(shí)間范圍內(nèi)的IP地址及其對應(yīng)的國家/地區(qū)，并生成了以下熱圖：?

研究人員還發(fā)現(xiàn)，Chalubo使用了復(fù)雜的多路徑感染機(jī)制（下圖），并通過ChaCha20加密與C2服務(wù)器通信，進(jìn)一步隱藏其活動(dòng)。這種惡意軟件不僅具有DDoS攻擊功能，還能執(zhí)行任意Lua腳本，從而在受感染設(shè)備上運(yùn)行惡意代碼。

Chaluba的復(fù)雜多路徑感染機(jī)制 來源：黑蓮花實(shí)驗(yàn)室

雖然此次攻擊破壞了創(chuàng)記錄的60萬臺設(shè)備，但是黑蓮花實(shí)驗(yàn)室并不認(rèn)為幕后黑手是國家黑客或國家支持的實(shí)體所為（但并不排除）。研究者表示沒有觀察到與已知破壞性國家黑客活動(dòng)（例如Volt Typhoon或SeaShell Blizzard）的任何交集。

研究者表示，這次針對家庭和小型辦公室路由器的大規(guī)模攻擊事件在整個(gè)網(wǎng)絡(luò)安全歷史中都是極為獨(dú)特的：“首先，此次攻擊活動(dòng)導(dǎo)致受影響設(shè)備報(bào)廢需要進(jìn)行硬件更換，這可能表明攻擊者破壞了特定型號的固件。由于受影響的設(shè)備數(shù)量眾多，此次事件是史無前例的——據(jù)我們所知，歷史上沒有任何一次網(wǎng)絡(luò)攻擊會(huì)導(dǎo)致60萬臺設(shè)備報(bào)廢更換。此外，這種類型的攻擊以前只發(fā)生過一次——俄烏戰(zhàn)爭前夕針對歐洲衛(wèi)星網(wǎng)絡(luò)的AcidRain攻擊，但那次攻擊被看作是軍事入侵的前兆，而且規(guī)模也小得多。”

最后，由于不清楚路由器最初是如何被感染的，研究人員只為家庭和SOHO路由器用戶提供了一些通用安全建議，包括安裝安全更新、用強(qiáng)密碼替換默認(rèn)密碼以及定期重啟路由器等。同時(shí)，ISP和企業(yè)也應(yīng)確保管理界面的安全。