去年,美國(guó)開展了一場史無前例的 Wiperware 活動,将 60 萬台 WiFi 路由器變成了電(diàn)子垃圾。在短短 72 小(xiǎo)時内,某家服務(wù)提供商(shāng) (ISP) 的相當一部分(fēn)客戶(主要位于農村社區(qū))無法獲得緊急服務(wù)。
研究人員現在才開始拼湊去年 10 月 25 日至 27 日 72 小(xiǎo)時内發生的網絡攻擊的範圍。路由器突然開始死機,LED 指示燈隻顯示靜态紅燈。
網上論壇上充斥着大量投訴,而客戶支持中(zhōng)心的解釋隻有(yǒu)一個:需要更換整台設備。
數千台小(xiǎo)型辦(bàn)公(gōng)室/家庭辦(bàn)公(gōng)室 (SOHO) 路由器感染了名(míng)為(wèi)“Chalubo”的遠(yuǎn)程訪問木(mù)馬 (RAT),導緻永久無法運行,需要更換硬件。
Lumen Technologies 旗下 Black Lotus Labs 的研究人員在一份報告中(zhōng)表示:“此次事件是史無前例的,受影響的設備數量如此之多(duō)——據我們所知,沒有(yǒu)一次攻擊需要更換超過 60 萬台設備。”
此次網絡攻擊僅限于一家 ISP 的網絡,影響了 Sagemcom 和 ActionTec 的設備。公(gōng)開掃描數據證實,受影響的 ISP 的自治系統編号 (ASN) 中(zhōng) 49% 的調制解調器突然被删除。
Lumen 表示:“這些報告讓我們相信問題很(hěn)可(kě)能(néng)是固件問題,因為(wèi)大多(duō)數其他(tā)問題都可(kě)以通過恢複出廠設置來解決。”
此次網絡攻擊影響了農村和服務(wù)欠缺社區(qū)的家庭。居民(mín)無法獲得緊急服務(wù),農民(mín)可(kě)能(néng)丢失了收獲期間遠(yuǎn)程監控農作(zuò)物(wù)的關鍵信息,醫(yī)療服務(wù)提供者無法獲得遠(yuǎn)程醫(yī)療或患者記錄。
更令人擔憂的是,該惡意軟件家族在接下來的幾個月裏仍然非常活躍。
“根據 10 月份的 30 天快照,Lumen 确定了超過 330,000 個唯一 IP 地址,這些 IP 地址與 75 個觀察到的 C2 節點之一通信了至少兩天,表明已确認感染。”
據研究人員稱,Chalubo 惡意軟件并不是專門為(wèi)破壞行為(wèi)編寫的,它可(kě)能(néng)是黑客用(yòng)來混淆歸屬的一種商(shāng)品工(gōng)具(jù)。
他(tā)們表示:“我們非常有(yǒu)信心,惡意固件更新(xīn)是故意造成中(zhōng)斷的行為(wèi),雖然我們預計互聯網上許多(duō)路由器品牌和型号都會受到影響,但這一事件僅限于單個 ASN。”
惡意軟件破壞固件
研究人員不确定黑客是如何獲得初始訪問權限的。受影響的型号當時沒有(yǒu)衆所周知的漏洞。威脅行為(wèi)者很(hěn)可(kě)能(néng)濫用(yòng)了弱憑證或利用(yòng)了暴露的管理(lǐ)界面。
進入系統後,攻擊者下載并運行名(míng)為(wèi)“ger_scrpc”的惡意腳本,該腳本允許所有(yǒu)網絡流量并下載其他(tā)可(kě)執行文(wén)件。
然後,惡意軟件會收集設備信息,例如 MAC 地址、設備 ID、類型、版本和本地 IP。它會從路由器中(zhōng)删除自身,并在内存中(zhōng)留下運行進程,試圖下載下一階段。Chalubo Bot 是主要的有(yǒu)效載荷。
“感染機制過程做得非常好,”研究人員表示。“這個新(xīn)版本似乎沒有(yǒu)任何持久性,它會從磁盤上删除自己的所有(yǒu)痕迹。”
該惡意軟件不僅會在執行文(wén)件後删除系統中(zhōng)所有(yǒu)文(wén)件,還會重命名(míng)進程以阻止檢測,使用(yòng)加密通信與命令和控制服務(wù)器,并插入延遲以逃避沙盒檢測。此外,它還能(néng)夠運行任意 Lua 腳本。
研究人員觀察到的唯一錯誤是,威脅行為(wèi)者使用(yòng)了完全相同的加密密鑰和随機數,之前在 Sophos 關于Chalubo的報告中(zhōng)有(yǒu)所記錄。
Chalubo 能(néng)夠運行 DDoS(分(fēn)布式拒絕服務(wù))攻擊,但在這種情況下,該惡意軟件沒有(yǒu)響應此類命令,這表明威脅行為(wèi)者還有(yǒu)其他(tā)目标。
該惡意軟件很(hěn)可(kě)能(néng)下載并解密了最後階段——破壞性負載——研究人員尚無法恢複。
研究人員總結道:“此次攻擊活動導緻受影響設備的硬件被替換,這可(kě)能(néng)表明攻擊者破壞了特定型号的固件。據我們所知,沒有(yǒu)一次攻擊需要更換超過 60 萬台設備。”
他(tā)們指出,這種攻擊隻發生過一次,當時 AcidRain 被用(yòng)作(zuò)主動軍事入侵的前兆。Lumen 評估這是一次蓄意破壞性攻擊。
“目前,我們并不認為(wèi)這是某個民(mín)族國(guó)家或國(guó)家支持的實體(tǐ)所為(wèi)。事實上,我們并未觀察到與已知破壞性活動群有(yǒu)任何重疊;尤其是那些容易發生破壞性事件的活動群,如伏爾特台風或海貝暴風雪(xuě),”研究人員表示。
網絡安(ān)全專家感到困惑
KnowBe4 數據驅動防禦倡導者羅傑·格裏姆斯 (Roger Grimes) 表示,他(tā)不知道美國(guó)以前發生過類似的事情。
“惡意黑客摧毀數十萬未打補丁的調制解調器的動機是什麽?如果 ISP 收到勒索通知,要麽忽略它,要麽在談判贖金金額時失敗,我一點也不驚訝,”Grimes 推測道。
“或者黑客可(kě)能(néng)隻是因為(wèi)他(tā)們有(yǒu)能(néng)力這樣做。但為(wèi)什麽隻關注一組客戶?事情發生都是有(yǒu)原因的。”
對于 Grimes 來說,這一事件表明需要積極地對硬件進行自動修補。
Lumen 還建議使用(yòng) SOHO 路由器的消費者定期重啓路由器,以清除内存中(zhōng)運行的惡意軟件。
Lumen 表示:“确保設備不依賴常見的默認密碼。”
管理(lǐ)接口也應得到适當的保護,并且不能(néng)通過互聯網訪問。
轉載自安(ān)全客