Más de 600.000 enrutadores en EE. UU. derribados por un misterioso ataque cibernético
Más de 600.000 enrutadores de pequeñas oficinas/oficinas domésticas (SOHO) en los EE. UU. quedaron inoperables en un ciberataque llevado a cabo por atacantes desconocidos, lo que interrumpió el acceso a Internet de muchos usuarios. Este importante evento, que ocurrió entre el 25 y el 27 de octubre de 2023, fue denominado "Pumpkin Eclipse" por el equipo de Lumen Technologies Black Lotus Labs. El ataque tuvo como objetivo tres modelos de enrutadores específicos: ActionTec T3200, ActionTec T3260 y Sagemcom, proporcionados por un proveedor de servicios de Internet (ISP) no revelado.
Durante el período de ataque de 72 horas, los enrutadores comprometidos sufrieron daños permanentes, lo que requirió reemplazos de hardware. Este incidente resultó en la pérdida del 49% de todos los módems asociados con el número de sistema autónomo (ASN) del ISP. Si bien la identidad del ISP no fue confirmada oficialmente, se sospecha de Windstream debido a una interrupción correspondiente y a los informes de los usuarios de que los módems afectados mostraban una "luz roja fija".
La investigación posterior de Lumen identificó al troyano de acceso remoto (RAT) llamado Chalubo como el culpable del ataque. Chalubo, notado por primera vez por Sophos en octubre de 2018, es conocido por su capacidad para apuntar a una variedad de kernels SOHO/IoT, realizar ataques DDoS y ejecutar scripts Lua. Parece que los atacantes utilizaron Chalubo para complicar la atribución, en lugar de emplear una herramienta personalizada. El método exacto utilizado para obtener acceso inicial a los enrutadores aún no está claro, aunque puede haber involucrado credenciales débiles o interfaces administrativas expuestas.
Una vez que se aseguró el acceso, el malware implementó scripts de shell para descargar e iniciar Chalubo desde un servidor externo, incluido un módulo de script Lua destructivo. El enfoque de esta campaña en un solo ASN es inusual, ya que la mayoría de los ataques apuntan a modelos de enrutadores específicos o vulnerabilidades comunes, lo que sugiere un objetivo deliberado y específico, aunque las motivaciones de los atacantes siguen siendo desconocidas.
Lumen destacó la escala sin precedentes de este ataque y señaló que ningún incidente anterior había requerido el reemplazo de más de 600.000 dispositivos. Un evento comparable fue el ataque AcidRain , que precedió a una invasión militar activa , lo que subraya la gravedad y la naturaleza única del incidente del Pumpkin Eclipse.