Más de 600,000 routers de oficina pequeña/oficina en el hogar (SOHO) quedaron inoperables en un ataque cibernético destructivo que interrumpió el acceso a Internet. El suceso, denominado «Eclipse de Calabaza» por Black Lotus Labs de Lumen Technologies, impactó un proveedor de servicios de Internet (ISP) en EE. UU. entre el 25 y 27 de octubre de 2023. Específicamente afectó tres modelos de routers: ActionTec T3200, ActionTec T3260 y Sagemcom.
El incidente dejó los dispositivos infectados permanentemente inoperables y requirió reemplazo basado en hardware, según el informe técnico de la empresa. Este apagón resultó en la eliminación abrupta del 49% de todos los módems del número de sistema autónomo (ASN) del ISP afectado en ese período.
La evidencia sugiere que el ISP afectado podría ser Windstream, y que los usuarios informaron una «luz roja intermitente» en los módems afectados durante el mismo período en que Windstream sufrió una interrupción.
Tras meses de análisis, Lumen ha revelado que el troyano de acceso remoto (RAT) llamado Chalubo es el responsable del sabotaje. El malware documentado por Sophos en octubre de 2018 tiene cargas útiles diseñadas para todos los núcleos principales de SOHO/IoT y funcionalidad preconstruida para ataques DDoS. El adversario optó por Chalubo presumiblemente para complicar los esfuerzos de atribución en lugar de usar un kit de herramientas personalizado.
Chalubo puede ejecutar cualquier script Lua enviado al bot, lo que suscita la sospecha de que la funcionalidad de Lua fue empleada por el actor malintencionado para recuperar la carga útil destructiva.
El método exacto de acceso inicial utilizado para vulnerar los routers aún no está claro, pero se teoriza que podría haber implicado el abuso de credenciales débiles o una interfaz administrativa expuesta.
Una vez obtenido un punto de apoyo exitoso, la cadena de infección procede a dejar caer scripts de shell que preparan el terreno para un cargador diseñado para recuperar y lanzar a Chalubo desde un servidor externo. El módulo de script Lua destructivo recuperado por el troyano es desconocido.
La campaña se enfocó en un único ASN, a diferencia de otras que han apuntado a un modelo de router específico o vulnerabilidad común, lo que sugiere una posible dirección intencional. Los motivos detrás de este enfoque aún no se han determinado.
Lumen describe el evento como sin precedentes debido al número de unidades afectadas, y afirma que ningún ataque anterior ha requerido el reemplazo de más de 600,000 dispositivos. Además, señalan que este tipo de ataque solo ha ocurrido una vez antes, con AcidRain utilizado como precursor de una invasión militar activa.
Vía The Hacker News
