近日，有消息稱美國(guó)有約 60 多萬(wàn)臺(tái)小型辦公室/家庭辦公室（SOHO）路由器在不明身份的網(wǎng)絡(luò)行為者發(fā)動(dòng)的破壞性網(wǎng)絡(luò)攻擊后被癱瘓并離線，從而中斷了用戶對(duì)互聯(lián)網(wǎng)的訪問(wèn)。

據(jù)調(diào)查，此事件影響了美國(guó)的互聯(lián)網(wǎng)服務(wù)提供商 ISP，Lumen Technologies Black Lotus 實(shí)驗(yàn)室團(tuán)隊(duì)將其命名為 “Pumpkin Eclipse”。對(duì) ISP 發(fā)布的 ActionTec T3200、ActionTec T3260 和 Sagemcom 三種路由器型號(hào)產(chǎn)生了較大影響。

該公司在一份技術(shù)報(bào)告中提到：那些受到感染的設(shè)備永久無(wú)法使用，需要進(jìn)行硬件更換。

這次停電意義重大，尤其是因?yàn)樗鼘?dǎo)致受影響 ISP 的自治系統(tǒng)號(hào)碼（ASN）中 49% 的調(diào)制解調(diào)器在這段時(shí)間內(nèi)突然被移除。

雖然 ISP 的名稱未被披露，但有證據(jù)表明是 Windstream，該公司也在同一時(shí)間遭遇了停電，導(dǎo)致用戶報(bào)告受影響的調(diào)制解調(diào)器一直顯示紅燈。

近幾日，Lumen 的分析揭示了一種名為 Chalubo 的商品遠(yuǎn)程訪問(wèn)木馬（RAT）。最早由 Sophos 記錄于 2018 年 10 月，這種隱秘惡意軟件是這次破壞活動(dòng)的罪魁禍?zhǔn)?，?duì)手選擇使用它可能是為了使歸因工作復(fù)雜化，而不是使用自定義工具包。

此外，Chalubo還具有專為所有主要SOHO/IoT內(nèi)核設(shè)計(jì)的有效載荷，預(yù)置執(zhí)行DDoS攻擊的功能，并且可以執(zhí)行發(fā)送給機(jī)器人的任何Lua腳本。該公司表示，惡意行為者很可能利用 Lua 功能檢索破壞性有效載荷。

目前還不清楚黑客入侵路由器所使用的初始訪問(wèn)方法是什么，不過(guò)據(jù)推測(cè)，這可能涉及濫用弱憑據(jù)或利用暴露的管理界面。

在成功入侵后，黑客會(huì)利用感染鏈繼續(xù)投放 shell 腳本，為加載器鋪路。加載器的最終目的是從外部服務(wù)器檢索并啟動(dòng) Chalubo。該木馬獲取的破壞性 Lua 腳本模塊尚不清楚。

與其他針對(duì)特定路由器型號(hào)或常見(jiàn)漏洞的攻擊不同，此次攻擊活動(dòng)的一個(gè)顯著特點(diǎn)是針對(duì)單一的 ASN，這提高了它被蓄意攻擊的可能性，盡管其背后的動(dòng)機(jī)尚未確定。

Lumen 表示：由于受影響的設(shè)備數(shù)量之多，這次事件是史無(wú)前例的。在過(guò)往的記憶中，還沒(méi)有哪次攻擊是需要更換 60 多萬(wàn)臺(tái)設(shè)備。這種類型的攻擊以前只發(fā)生過(guò)一次，AcidRain 被用作主動(dòng)軍事入侵的前兆。