神秘恶棍通过恶意软件更新远程砖砌了600,000台SOHO路由器
这次网络攻击发生在2023年10月25日至27日之间的72小时内,当时还没有报道.
据美国电信公司Lumen Technologies的黑莲花实验室称,这“使受感染的设备永久无法运行,需要基于硬件的替换”.
该实验室周四公布了有关这一破坏性事件的详细信息,并将其命名为“南瓜蚀”.
据安全研究人员称,去年年底,不明身份的不法分子侵入了一家互联网服务提供商的60多万台路由器,并在设备上部署了恶意软件,然后将其完全禁用.
似乎神秘的入侵者专门针对两种不同的路由器--Actiontec的T3200和T3260--但不清楚他们是如何获得访问权限的.
当在Actiontec的[漏洞警报平台]OpenCVE中搜索影响这些模型的漏洞时,黑莲花的研究人员认为,这两个型号都没有列出,这表明威胁行为者可能滥用了薄弱的凭据或利用了暴露的管理界面.
但没有透露受影响的互联网服务提供商的名字.
据推测,总部位于阿肯色州的Windstream是受害者,但当注册中心联系到时,互联网服务提供商拒绝置评.
黑莲花透露,不明身份的攻击者使用Chalubo-一种远程访问特洛伊木马(RAT)破坏了60多万台路由器.
该恶意软件自2018年以来一直存在,并内置了加密与命令控制服务器的通信、执行分布式拒绝服务攻击的功能,并在受感染的设备上执行Lua脚本.
奇怪的是,我们被告知,犯罪分子并没有使用分布式拒绝服务系统的功能.
“目前,我们没有发现这种活动与任何已知的民族国家活动集群之间的重叠,”威胁猎人写道.
具体地说,这与中国的伏特台风,或者俄罗斯的沙虫,也就是另一种以破坏性攻击闻名的沙虫,也没有重叠.
研究人员补充说,这种类型的攻击以前只见过一次:酸雨雨刷案例.
它被认为是沙虫造成的,并被用来摧毁乌克兰使用的Ka-SAT调制解调器,作为俄罗斯入侵的前奏.