据安全研究人员称,去年年底,不明身份的不法分子侵入了一家互联网服务提供商的60多万台路由器,在设备上部署了恶意软件,然后将它们完全瘫痪.
这次网络攻击发生在2023年10月25日至27日之间,时间长达72小时,当时还没有报道.
据美国电信公司Lumen Technologies‘s Black Lotus Labs称,这“使受感染的设备永久无法运行,需要基于硬件的替换”.
该实验室周四公布了这起破坏性事件的细节,并将其命名为“南瓜蚀”.
神秘的入侵者似乎专门针对两个不同的路由器--Actiontec的T3200和T3260--但尚不清楚他们是如何获得访问权限的.
“在[漏洞警报平台]OpenCVE for Actiontec中搜索影响这些型号的漏洞时,这两个型号都没有列出,这表明威胁参与者可能滥用了薄弱的凭据,或者利用了暴露的管理界面.
黑莲花的研究人员认为--没有说出受影响的互联网服务提供商的名字.
据推测,总部位于阿肯色州的Windstream是受害者,但当注册中心联系到该互联网服务提供商时,该互联网服务提供商拒绝置评.
黑莲花透露,不明身份的攻击者使用Chalubo-一种远程访问特洛伊木马(RAT)破坏了60多万台路由器.
该恶意软件自2018年以来一直存在,并具有内置功能,用于加密与命令和控制服务器的通信,执行分布式拒绝服务攻击,并在受感染的设备上执行Lua脚本.
奇怪的是,我们被告知,犯罪分子并没有使用分布式拒绝服务系统的功能.
“目前,我们没有发现这种活动与任何已知的民族国家活动集群之间的重叠,”威胁猎人写道.
具体地说,这与中国的伏特台风,或者俄罗斯的沙虫,也就是另一种以破坏性攻击闻名的沙虫,也没有重叠.
研究人员补充说,这种类型的攻击以前只见过一次:酸雨雨刷案例.
它被归因于沙虫,并被用来摧毁乌克兰使用的Ka-SAT调制解调器,作为俄罗斯入侵的前奏.
黑莲花断言,高度自信地表示,“恶意固件更新是故意的行为,旨在导致停机,尽管我们预计会看到许多路由器制造商和型号在整个互联网上受到影响,但这一事件仅限于单个ASN[自治系统编号].”®.