600.000’den fazla küçük ofis/ev ofisi (SOHO) yönlendiricisinin, kimliği belirsiz siber aktörler tarafından düzenlenen ve kullanıcıların internete erişimini engelleyen yıkıcı bir siber saldırının ardından tuğlalandığı ve çevrimdışına alındığı tahmin ediliyor.
25-27 Ekim 2023 tarihleri arasında gerçekleşen ve ABD’deki tek bir internet servis sağlayıcısını (ISP) etkileyen gizemli olaya kod adı verildi. Balkabağı Tutulması Lumen Technologies Black Lotus Labs ekibi tarafından. Özellikle ISP tarafından yayınlanan üç yönlendirici modelini etkiledi: ActionTec T3200, ActionTec T3260 ve Sagemcom.
Şirket teknik raporunda, “Olay 25-27 Ekim tarihleri arasında 72 saatlik bir süre içinde gerçekleşti, virüslü cihazları kalıcı olarak çalışmaz hale getirdi ve donanım tabanlı bir değişim gerektirdi” dedi.
Kesinti önemlidir; özellikle de zaman dilimi içinde tüm modemlerin %49’unun etkilenen ISP’nin otonom sistem numarasından (ASN) aniden kaldırılmasına yol açması nedeniyle.
İSS’nin adı açıklanmasa da kanıtlar onun Windstream olduğunu gösteriyor; bu da aynı dönemde bir kesinti yaşadı ve kullanıcıların etkilenen modemler tarafından “sabit kırmızı ışık” yandığını bildirmelerine neden oldu.
Şimdi, aylar sonra, Lumen’in analizi, sabotajın sorumlusunun Chalubo adlı gizli bir kötü amaçlı yazılım olan Chalubo adlı bir uzaktan erişim truva atı (RAT) olduğunu ortaya çıkardı; düşman muhtemelen atıfları karmaşıklaştırma çabasıyla bunu tercih etti. özel bir araç seti kullanmak yerine çaba gösterin.
Şirket, “Chalubo, tüm önemli SOHO/IoT çekirdekleri için tasarlanmış yüklere, DDoS saldırılarını gerçekleştirmek için önceden oluşturulmuş işlevselliğe sahip ve bota gönderilen herhangi bir Lua komut dosyasını çalıştırabiliyor” dedi. “Lua işlevselliğinin kötü niyetli aktör tarafından yıkıcı yükü geri almak için kullanıldığından şüpheleniyoruz.”
Bununla birlikte, yönlendiricileri ihlal etmek için kullanılan tam başlangıç erişim yöntemi şu anda belirsiz olsa da, zayıf kimlik bilgilerinin kötüye kullanılması veya açıkta kalan bir yönetim arayüzünden yararlanılmış olabileceği teorik olarak öne sürülüyor.
Başarılı bir tutunma noktası elde ettikten sonra enfeksiyon zinciri, Chalubo’yu harici bir sunucudan alıp başlatmak üzere tasarlanmış bir yükleyicinin yolunu açan kabuk komut dosyalarını bırakmaya devam ediyor. Truva atının getirdiği yıkıcı Lua komut dosyası modülü bilinmiyor.
Kampanyanın dikkate değer bir yönü, tipik olarak belirli bir yönlendirici modelini veya ortak güvenlik açığını hedef alan diğerlerinin aksine, tek bir ASN’yi hedeflemesidir; bunun arkasındaki motivasyonlar henüz belirlenmemiş olsa da, kasıtlı olarak hedef alınma olasılığını artırmaktadır.
Lumen, “Etkilenen birimlerin sayısı nedeniyle olay benzeri görülmemiş bir olaydı; hatırlayabildiğimiz hiçbir saldırı 600.000’den fazla cihazın değiştirilmesini gerektirmedi” dedi. “Ayrıca, bu tür bir saldırı daha önce yalnızca bir kez gerçekleşti; acidRain, aktif bir askeri istilanın habercisi olarak kullanıldı.”