信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

本周四，Lumen Technologies的黑蓮花實驗室（Black Lotus Labs）發(fā)布報告披露了去年底發(fā)生在美國的一次超大規(guī)模電信網(wǎng)絡(luò)破壞事件，黑客在72小時內(nèi)癱瘓了某互聯(lián)網(wǎng)接入服務(wù)商的超過60萬臺家庭/家庭辦公室（SOHO）路由器，這些“變磚”的路由器無法修復(fù)，導(dǎo)致大量用戶被迫進行硬件更換。

60萬臺路由器在72小時內(nèi)變磚

2023年10月的一天，美國互聯(lián)網(wǎng)服務(wù)提供商Windstream的大量用戶突然發(fā)現(xiàn)路由器無法工作。這個問題迅速在網(wǎng)絡(luò)論壇上引發(fā)討論，許多用戶報告他們的ActionTec T3200路由器突然死機，重啟和重置都無濟于事。

Windstream的Kinetic寬帶服務(wù)在美國18個州擁有大約160萬訂戶，對許多家庭和企業(yè)來說至關(guān)重要。一位用戶在論壇上寫道：“我們有三個孩子，都在家工作，這次事件讓我們損失了1500多美元的業(yè)務(wù)，沒有電視、WiFi，花費了數(shù)小時在電話上。”

公共掃描數(shù)據(jù)顯示，在事件期間，Windstream的自主系統(tǒng)號（ASN）下接近半數(shù)（49%）的路由器被攻擊下線。這次攻擊對農(nóng)村和偏遠社區(qū)影響尤其嚴重，導(dǎo)致緊急服務(wù)中斷、農(nóng)業(yè)監(jiān)控信息丟失和遠程醫(yī)療服務(wù)中斷等。

經(jīng)過調(diào)查，Windstream發(fā)現(xiàn)這些路由器已經(jīng)無法修復(fù)，并向受影響的用戶發(fā)送了新路由器。黑蓮花實驗室（Black Lotus Labs）稱這次事件為“南瓜月蝕”。根據(jù)黑蓮花實驗室的報告，這次事件導(dǎo)致超過60萬臺路由器在72小時內(nèi)“變磚”，堪稱史上最大規(guī)模的電信網(wǎng)絡(luò)破壞事件，遠超俄烏戰(zhàn)爭期間針對歐洲衛(wèi)星網(wǎng)絡(luò)的AcidRain攻擊事件（破壞了1萬臺衛(wèi)星接收調(diào)制解調(diào)器）。

攻擊者不是國家黑客

黑蓮花實驗室的研究人員認為，這次事件中黑客使用了商品惡意軟件Chalubo，這種惡意軟件能夠執(zhí)行自定義Lua腳本，永久覆蓋路由器固件。研究者確信，這次惡意固件的批量更新是故意行為，目的就是為了導(dǎo)致大規(guī)模宕機。

黑蓮花實驗室通過全球遙測數(shù)據(jù)發(fā)現(xiàn)，Chalubo惡意軟件在2023年11月和2024年初非常活躍。在10月的一個30天快照中，發(fā)現(xiàn)超過33萬個獨立IP地址與75個已知C2節(jié)點通信至少兩天，表明感染情況非常嚴重。與常見的僵尸網(wǎng)絡(luò)不同，95%的感染設(shè)備只與一個C2控制面板通信，研究人員認為這表明事件背后的實體具有不同的操作孤島。

黑蓮花實驗室繪制了事件發(fā)生時間范圍內(nèi)的IP地址及其對應(yīng)的國家/地區(qū)，并生成了以下熱圖：

2023年10月Chalubo機器人IP地址分布情況來源：黑蓮花實驗室

研究人員還發(fā)現(xiàn)，Chalubo使用了復(fù)雜的多路徑感染機制（下圖），并通過ChaCha20加密與C2服務(wù)器通信，進一步隱藏其活動。這種惡意軟件不僅具有DDoS攻擊功能，還能執(zhí)行任意Lua腳本，從而在受感染設(shè)備上運行惡意代碼。

Chaluba的復(fù)雜多路徑感染機制來源：黑蓮花實驗室

雖然此次攻擊破壞了創(chuàng)記錄的60萬臺設(shè)備，但是黑蓮花實驗室并不認為幕后黑手是國家黑客或國家支持的實體所為（但并不排除）。研究者表示沒有觀察到與已知破壞性國家黑客活動（例如Volt Typhoon或SeaShell Blizzard）的任何交集。

研究者表示，這次針對家庭和小型辦公室路由器的大規(guī)模攻擊事件在整個網(wǎng)絡(luò)安全歷史中都是極為獨特的：“首先，此次攻擊活動導(dǎo)致受影響設(shè)備報廢需要進行硬件更換，這可能表明攻擊者破壞了特定型號的固件。由于受影響的設(shè)備數(shù)量眾多，此次事件是史無前例的——據(jù)我們所知，歷史上沒有任何一次網(wǎng)絡(luò)攻擊會導(dǎo)致60萬臺設(shè)備報廢更換。此外，這種類型的攻擊以前只發(fā)生過一次——俄烏戰(zhàn)爭前夕針對歐洲衛(wèi)星網(wǎng)絡(luò)的AcidRain攻擊，但那次攻擊被看作是軍事入侵的前兆，而且規(guī)模也小得多。”

最后，由于不清楚路由器最初是如何被感染的，研究人員只為家庭和SOHO路由器用戶提供了一些通用安全建議，包括安裝安全更新、用強密碼替換默認密碼以及定期重啟路由器等。同時，ISP和企業(yè)也應(yīng)確保管理界面的安全。