去年,美国开展了一场史无前例的 Wiperware 活动,将 60 万台 WiFi 路由器变成了电子垃圾。在短短 72 小时内,某家服务提供商 (ISP) 的相当一部分客户(主要位于农村社区)无法获得紧急服务。
研究人员现在才开始拼凑去年 10 月 25 日至 27 日 72 小时内发生的网络攻击的范围。路由器突然开始死机,LED 指示灯只显示静态红灯。
网上论坛上充斥着大量投诉,而客户支持中心的解释只有一个:需要更换整台设备。
数千台小型办公室/家庭办公室 (SOHO) 路由器感染了名为“Chalubo”的远程访问木马 (RAT),导致永久无法运行,需要更换硬件。
Lumen Technologies 旗下 Black Lotus Labs 的研究人员在一份报告中表示:“此次事件是史无前例的,受影响的设备数量如此之多——据我们所知,没有一次攻击需要更换超过 60 万台设备。”
此次网络攻击仅限于一家 ISP 的网络,影响了 Sagemcom 和 ActionTec 的设备。公开扫描数据证实,受影响的 ISP 的自治系统编号 (ASN) 中 49% 的调制解调器突然被删除。
Lumen 表示:“这些报告让我们相信问题很可能是固件问题,因为大多数其他问题都可以通过恢复出厂设置来解决。”
此次网络攻击影响了农村和服务欠缺社区的家庭。居民无法获得紧急服务,农民可能丢失了收获期间远程监控农作物的关键信息,医疗服务提供者无法获得远程医疗或患者记录。
更令人担忧的是,该恶意软件家族在接下来的几个月里仍然非常活跃。
“根据 10 月份的 30 天快照,Lumen 确定了超过 330,000 个唯一 IP 地址,这些 IP 地址与 75 个观察到的 C2 节点之一通信了至少两天,表明已确认感染。”
据研究人员称,Chalubo 恶意软件并不是专门为破坏行为编写的,它可能是黑客用来混淆归属的一种商品工具。
他们表示:“我们非常有信心,恶意固件更新是故意造成中断的行为,虽然我们预计互联网上许多路由器品牌和型号都会受到影响,但这一事件仅限于单个 ASN。”
恶意软件破坏固件
研究人员不确定黑客是如何获得初始访问权限的。受影响的型号当时没有众所周知的漏洞。威胁行为者很可能滥用了弱凭证或利用了暴露的管理界面。
进入系统后,攻击者下载并运行名为“ger_scrpc”的恶意脚本,该脚本允许所有网络流量并下载其他可执行文件。
然后,恶意软件会收集设备信息,例如 MAC 地址、设备 ID、类型、版本和本地 IP。它会从路由器中删除自身,并在内存中留下运行进程,试图下载下一阶段。Chalubo Bot 是主要的有效载荷。
“感染机制过程做得非常好,”研究人员表示。“这个新版本似乎没有任何持久性,它会从磁盘上删除自己的所有痕迹。”
该恶意软件不仅会在执行文件后删除系统中所有文件,还会重命名进程以阻止检测,使用加密通信与命令和控制服务器,并插入延迟以逃避沙盒检测。此外,它还能够运行任意 Lua 脚本。
研究人员观察到的唯一错误是,威胁行为者使用了完全相同的加密密钥和随机数,之前在 Sophos 关于Chalubo的报告中有所记录。
Chalubo 能够运行 DDoS(分布式拒绝服务)攻击,但在这种情况下,该恶意软件没有响应此类命令,这表明威胁行为者还有其他目标。
该恶意软件很可能下载并解密了最后阶段——破坏性负载——研究人员尚无法恢复。
研究人员总结道:“此次攻击活动导致受影响设备的硬件被替换,这可能表明攻击者破坏了特定型号的固件。据我们所知,没有一次攻击需要更换超过 60 万台设备。”
他们指出,这种攻击只发生过一次,当时 AcidRain 被用作主动军事入侵的前兆。Lumen 评估这是一次蓄意破坏性攻击。
“目前,我们并不认为这是某个民族国家或国家支持的实体所为。事实上,我们并未观察到与已知破坏性活动群有任何重叠;尤其是那些容易发生破坏性事件的活动群,如伏尔特台风或海贝暴风雪,”研究人员表示。
网络安全专家感到困惑
KnowBe4 数据驱动防御倡导者罗杰·格里姆斯 (Roger Grimes) 表示,他不知道美国以前发生过类似的事情。
“恶意黑客摧毁数十万未打补丁的调制解调器的动机是什么?如果 ISP 收到勒索通知,要么忽略它,要么在谈判赎金金额时失败,我一点也不惊讶,”Grimes 推测道。
“或者黑客可能只是因为他们有能力这样做。但为什么只关注一组客户?事情发生都是有原因的。”
对于 Grimes 来说,这一事件表明需要积极地对硬件进行自动修补。
Lumen 还建议使用 SOHO 路由器的消费者定期重启路由器,以清除内存中运行的恶意软件。
Lumen 表示:“确保设备不依赖常见的默认密码。”
管理接口也应得到适当的保护,并且不能通过互联网访问。
转载自安全客
下一篇:警惕云存储泄密风险