史上最大规模电信网络攻击

60万台路由器在72小时内变砖

2023年10月的一天,美国互联网服务提供商Windstream的大量用户突然发现路由器无法工作。这个问题迅速在网络论坛上引发讨论,许多用户报告他们的ActionTec T3200路由器突然死机,重启和重置都无济于事。

Windstream的Kinetic宽带服务在美国18个州拥有大约160万订户,对许多家庭和企业来说至关重要。一位用户在论坛上写道:“我们有三个孩子,都在家工作,这次事件让我们损失了1500多美元的业务,没有电视、WiFi,花费了数小时在电话上。”

公共扫描数据显示,在事件期间,Windstream的自主系统号(ASN)下接近半数(49%)的路由器被攻击下线。这次攻击对农村和偏远社区影响尤其严重,导致紧急服务中断、农业监控信息丢失和远程医疗服务中断等。

经过调查,Windstream发现这些路由器已经无法修复,并向受影响的用户发送了新路由器。黑莲花实验室(Black Lotus Labs)称这次事件为“南瓜月蚀”。根据黑莲花实验室的报告,这次事件导致超过60万台路由器在72小时内“变砖”,堪称史上最大规模的电信网络破坏事件,远超俄乌战争期间针对欧洲卫星网络的AcidRain攻击事件(破坏了1万台卫星接收调制解调器)。

攻击者不是国家黑客

黑莲花实验室的研究人员认为,这次事件中黑客使用了商品恶意软件Chalubo,这种恶意软件能够执行自定义Lua脚本,永久覆盖路由器固件。研究者确信,这次恶意固件的批量更新是故意行为,目的就是为了导致大规模宕机。

黑莲花实验室通过全球遥测数据发现,Chalubo恶意软件在2023年11月和2024年初非常活跃。在10月的一个30天快照中,发现超过33万个独立IP地址与75个已知C2节点通信至少两天,表明感染情况非常严重。与常见的僵尸网络不同,95%的感染设备只与一个C2控制面板通信,研究人员认为这表明事件背后的实体具有不同的操作孤岛。

黑莲花实验室绘制了事件发生时间范围内的IP地址及其对应的国家/地区,并生成了以下热图:

图片

2023年10月Chalubo机器人IP地址分布情况 来源:黑莲花实验室

研究人员还发现,Chalubo使用了复杂的多路径感染机制(下图),并通过ChaCha20加密与C2服务器通信,进一步隐藏其活动。这种恶意软件不仅具有DDoS攻击功能,还能执行任意Lua脚本,从而在受感染设备上运行恶意代码。

图片

Chaluba的复杂多路径感染机制 来源:黑莲花实验室

虽然此次攻击破坏了创记录的60万台设备,但是黑莲花实验室并不认为幕后黑手是国家黑客或国家支持的实体所为(但并不排除)。研究者表示没有观察到与已知破坏性国家黑客活动(例如Volt Typhoon或SeaShell Blizzard)的任何交集。

研究者表示,这次针对家庭和小型办公室路由器的大规模攻击事件在整个网络安全历史中都是极为独特的:“首先,此次攻击活动导致受影响设备报废需要进行硬件更换,这可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量众多,此次事件是史无前例的——据我们所知,历史上没有任何一次网络攻击会导致60万台设备报废更换。此外,这种类型的攻击以前只发生过一次——俄乌战争前夕针对欧洲卫星网络的AcidRain攻击,但那次攻击被看作是军事入侵的前兆,而且规模也小得多。”

最后,由于不清楚路由器最初是如何被感染的,研究人员只为家庭和SOHO路由器用户提供了一些通用安全建议,包括安装安全更新、用强密码替换默认密码以及定期重启路由器等。同时,ISP和企业也应确保管理界面的安全。

原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/81973.html

(0)
guozi's avatarguozi
上一篇 2024年5月31日 下午2:17
下一篇 2024年5月31日 下午2:18

相关推荐

  • 因攻击网站被取保候审会怎么样,因攻击网站被取保候审有案底吗

    近期,互联网行业再次遭受攻击困扰,部分网站因攻击事件被取保候审,引发广泛关注。那么什么是网站攻击呢?为什么被取保候审呢?攻击网站会带来什么后果呢?下面我们就来一起探讨一下这些问题。…

    行业资讯 2024年5月9日
    0
  • 写真网站被屏蔽

    近日,有关封杀摄影网站的消息引起广泛关注和讨论。随着互联网行业的不断发展,摄影网站逐渐成为网络世界不可忽视的一部分。但摄影网站为何被封?这背后的原因是什么?对于广大用户来说,被封的…

    行业资讯 2024年5月7日
    0
  • UDP协议是什么?

    你是否听说过UDP协议?这个在网络互联网服务器行业中备受关注的协议,究竟是什么?它有着怎样的工作原理?又有哪些特点与优缺点?更重要的是,它在网络互联网服务器中有着怎样的应用场景?让…

    行业资讯 2024年4月6日
    0
  • JAVA的三种注释方法

    Java的三种注释形式包括单行注释、多行注释和文档注释。 单行注释: // 可以用于对单行代码的简单解释,也可以用于快速注释掉某行代码,十分简洁明了。 多行注释 /* &#8230…

    行业资讯 2024年5月31日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注