Хакеры превратили в «кирпичи» 600 тыс. модемов интернет-провайдера. Зачем это было сделано, загадка
Хакеры арендовали деструктивный вредонос и превратили 600 тыс. роутеров в «кирпичи». Зачем это было сделано, пока загадка: скорее всего, это была атака на финансы провайдера.
Три модели роутеров
Неизвестные злоумышленники безвозвратно испортили 600 тыс. домашних и офисных роутеров, принадлежавших одному американскому сервис-провайдеру. Инцидент произошёл прошлой осенью, но результаты его исследования, проведённого группой Lumen Black Lotus Labs, опубликованы только сейчас.
Как указывают эксперты, между 25 и 27 октября ботнет, получивший название Pumpkin Eclipse, атаковал роутеры трех моделей - ActionTec T3200s, ActionTec T3260s и Sagemcom F5380, относившихся к сетям неназванного в отчете провайдера, который обслуживает клиентов в регионе Среднего Запада США.
Как следствие, количество работающих модемов разом упало на 49%.
В публикации издания Bleeping Computer указывается, что в те же дни на ресурсе Reddit появились многочисленные публикации от клиентов провайдера Windstream, который как раз работает в том же регионе; все эти люди жаловались на то, что их модемы, как раз тех самых моделей, вышли из строя. Так что смело можно утверждать, что жертвой атаки стал именно Windstream, провайдер, обслуживающий «уязвимые сообщества».
Комментировать инцидент сам провайдер, впрочем, отказался.
Вайпер в аренду
Вредонос, которым пользовались злоумышленники, носит название Chalubo; вероятнее всего, непосредственный исполнитель атаки арендовал его на стороне.
Исследователям не удалось выяснить, каким именно образом он проникал в уничтоженные устройство, как не удалось найти и его деструктивный модуль. По предположениям экспертов, либо использовалась уязвимость нулевого дня (так и оставшаяся неизвестной), либо злоумышленники атаковали устройства со слабыми или заводскими реквизитами доступа.
После изначального проникновения, на первом этапе в модемы загружается bash-скрипт get_scrpc, тот, в свою очередь, подгружает новый скрипт get_strtriiush, и только тот скачивает и загружает основной вредонос - mips.elf, собственно, тело Chalubo.
Chalubo подгружается из памяти, чтобы избежать обнаружения; вдобавок при соединении с контрольным сервером обмен данными защищён шифровальным алгоритмом ChaCha20.
После запуска он выжидает 30 минут (это мера предосторожности, направленная на защиту от изолированных сред, которыми пользуются вирусные аналитики), затем собирает и передает на контрольный сервер информацию о заражённом устройстве (MAC-адрес, уникальный идентификатор, тип устройства, версию оболочки и локальный IP-адрес). Затем по команде оператора Chalubo стирает все файлы и меняет названия процессов.
Он также способен выводить данные и загружать дополнительные модули, и, видимо, один из них используется для полного вывода из строя роутеров на аппаратном уровне. Но каким именно образом это делается, осталось загадкой.
Любопытной особенностью Chalubo является отсутствие механизмов сохранности: при перезагрузке роутера вредонос исчезает из памяти и не перезагружается заново.
Телеметрия Black Lotus Labs показала, что между 3 октября и 3 ноября у Chalubo насчитывалось сразу 45 панелей управления, обменивавшихся данными с 650 тыс. уникальных IP-адресов, подавляющее большинство которых располагалось на территории США. Но только одна из этих панелей использовалась для деструктивных действий. По-видимому, это количество панелей означало количество арендаторов Chalubo на тот момент.
«Деструктивные атаки в последнее время довольно редки, хакеры преимущественно стремятся заработать, а не навести хаос», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. Он уточнил, что в данном случае точно неизвестно чем руководствовались злоумышленники. «В любом случае, они нанесли провайдеру значительный материальный ущерб: заменить 600 тыс. роутеров-модемов - это нешуточные расходы», - заключил Михаил Зайцев.
По мнению эксперта, речь шла именно о целенаправленной попытке ухудшить финансовое положение провайдера.