'Pumpkin Eclipse' adlı kötü amaçlı bir botnet, 2023'te 600.000 ofis/ev ofis (SOHO) internet yönlendiricilerini çevrimdışı olarak yok eden gizemli bir yıkıcı etkinlik gerçekleştirdi ve müşterilerin internet erişimini bozdu.
Olayı gözlemleyen Lumen'in Black Lotus Labs'taki araştırmacılara göre, 25 Ekim ve 27 Ekim 2023 arasında çok sayıda Midwest eyaletine internet erişimini bozdu. Bu, enfekte cihazların sahiplerini yönlendiricileri değiştirmekten başka seçeneği olmadan bıraktı.
Büyük ölçekli olmasına rağmen, olayın tek bir İnternet servis sağlayıcısını (ISS) ve firma tarafından kullanılan üç yönlendirici modelini etkileyen odaklanmış bir etkisi vardı: ActionTec T3200S, ActionTec T3260'lar ve Sagemcom F5380.
Black Lotus Labs, belirli ISS'nin Amerika Birleşik Devletleri'nde savunmasız topluluklara hizmet ettiğini ve 'balkabağı tutulması' olayı nedeniyle işletim modemlerinde% 49'luk bir azalma yaşadığını söylüyor.
Black Lotus ISS'yi adlandırmasa da, aynı zaman dilimi sırasında meydana gelen bir rüzgar akışı kesintisine çarpıcı bir benzerlik taşıyor.
25 Ekim 2023'ten itibaren Windstream müşterileri Reddit'e yönlendiricilerinin artık çalışmadığını bildirmeye başladı.
"Yani bir süredir bir T3200 modemi aldım, ama bugün, daha önce hiç yaşamadığım bir şey oldu. İnternet ışığı sağlam kırmızı gösteriyor. Ne anlama geliyor ve nasıl düzeltebilirim?" Winstream alt bölümündeki bir kullanıcı.
Başka bir kullanıcı, "Benimki dün gece saat 21: 00'de saat 21.00'de düştü, bu öğleden sonra sorun gidermek için zamanım olana kadar göz ardı edildi. Chatbot'tan geçtikten sonra (ve T3200 fabrika sıfırlamasına yanıt vermedikten), yönlendiricinin sorun olduğu açıktı," dedi başka bir kullanıcı .
Windream kesintisinden etkilenen abonelere, internet erişimlerini geri yüklemek için yönlendiricileri yenisiyle değiştirmeleri gerektiği söylendi.
Olayla ilgili olarak temasa geçildiğinde Windstream, BleepingComputer'a yorumları olmadığını söyledi.
Yedi ay ve Black Lotus'un yeni bir raporu nihayet olaya biraz ışık tutabilir ve bir Botnet'in Ekim 2023'te tek bir ISS'de Orta Batı eyaletlerinde 600.000 yönlendiriciyi tuğlalamaktan sorumlu olduğunu açıkladı.
"Lumen Technologies'in Black Lotus Labs, 600.000'den fazla küçük ofis/ev ofisi (SOHO) yönlendiricisi tek bir İnternet servis sağlayıcısına (ISS) ait olarak çevrimdışı alındı. Olay, Ekim ayında 72 saatlik bir süre boyunca gerçekleşti. 25-27, enfekte olmuş cihazları kalıcı olarak çalıştıramadı ve genel tarama verileri, etkilenen ISS'nin otonom sistem numarasından (ASN) ani ve hızlı bir şekilde kaldırılmasını doğruladı. "
Araştırmacılar ilk erişim için kullanılan güvenlik açığını bulamadılar, bu nedenle saldırganlar ya bilinmeyen bir sıfır günlük kusur kullandılar ya da maruz kalan bir idari arayüzle birlikte zayıf kimlik bilgilerini kullandılar.
İlk aşama yükü, birincil bot yükü olan 'chalubo' ("mips.elf") almaktan sorumlu olan "get_strtriiush" adlı ikinci bir komut dosyası getirmeyi yürüten "get_scrpc" adlı bir bash betiğidir.
Chalubo, algılamadan kaçınmak için bellekten yürütülür ve iletişim kanalını korumak için komut ve kontrol (C2) sunucularıyla iletişim kurarken Chacha20 şifrelemesini kullanır, ancak tüm dosyaları diskten siler ve çalıştırıldıktan sonra işlem adını değiştirir.
Saldırgan, veri sızdırmasını sağlayan, ek modüllerin indirilmesini veya enfekte olmuş cihaza yeni yükler getiren LUA komut dosyaları aracılığıyla botlara komut gönderebilir.
Koşullardan kaçmak için 30 dakikalık bir gecikme içeren yürütme üzerine BOT, MAC adresi, cihaz kimliği, cihaz türü, cihaz sürümü ve yerel IP adresi gibi ana bilgisayar tabanlı bilgileri toplar.
Chalubo, Balkabağı Eclipse'in operasyonel hedeflerini gösteren Hizmet Reddetme (DDOS) işlevselliğini dağıtmıştır. Bununla birlikte, Black Lotus Labs BotNet'ten herhangi bir DDOS saldırısı gözlemlemedi.
Analistler, Chalubo'nun bir kalıcılık mekanizmasını kaçırdığını belirtiyor, bu nedenle enfekte yönlendiriciyi yeniden başlatmak botun operasyonunu bozuyor.
Black Lotus Labs, telemetri verilerinin Chalubo'nun en çok ABD'de bulunan 3 Ekim - 3 Kasım tarihleri arasında 650.000'den fazla benzersiz IP adresini ileten 45 kötü amaçlı yazılım paneli işlettiğini gösteriyor.
Yıkıcı saldırı için bu panellerden sadece biri kullanıldı ve belirli bir Amerikan ISS'sine odaklandı, bu da siyah lotus araştırmacılarının saldırganın, yönlendiricilere yıkıcı yükü dağıtmak amacıyla Chalubo panelini satın aldığına inanmasına neden oldu.
"İkinci benzersiz yön, bu kampanyanın belirli bir ASN ile sınırlı olmasıdır. Gördüğümüz önceki kampanyaların çoğunun belirli bir yönlendirici modelini veya ortak güvenlik açığını hedeflemesi ve birden fazla sağlayıcı ağında etkileri vardır. Bu durumda, hem Sagemcom hem de hem Sagemcom hem de gözlemledik. ActionTec cihazları, aynı zamanda aynı sağlayıcının ağı içinde etkilendi. Censys verileri, etkinin sadece söz konusu iki kombinasyon için, olayı sağlamayan bir kötü niyetli siber aktör tarafından alınan bir eylem olduğunu gösteriyor. yıkıcı modül. " - Siyah lotus
Ne yazık ki, araştırmacılar yönlendiricileri tuğlalamak için kullanılan yükü bulamadılar, bu yüzden nasıl yapıldığını veya hangi amaçla belirlenemediler.
Black Lotus Labs, "Acidrain" olayı dışında ilk kez, bir botnet kötü amaçlı yazılımının ev sahiplerini yok etmesi ve donanım değiştirme uygulayarak büyük ölçekli finansal hasara neden olduğunu belirtiyor.
Yönlendiricileri kesmek için bir yıllık TP-Link kusurunu sömüren birden fazla botnet
Polis 100'den fazla kötü amaçlı yazılım sunucusu ele geçirdi, dört siber suçlu tutukladı
TP-Link Popüler C5400X oyun yönlendiricisinde kritik RCE hatasını düzeltiyor
Ebury Botnet Kötü Yazılım 2009'dan beri 400.000 Linux sunucusuna enfekte oldu
Yeni mürekkep balığı kötü amaçlı yazılım, kimlik bilgileri için trafiği izlemek için yönlendiricileri enfekte eder
Kaynak: Bleeping Computer