謎のサイバー攻撃により米国で60万台以上のルーターがダウン

正体不明の攻撃者によるサイバー攻撃により、米国の60万台を超えるSOHO（スモールオフィス/ホームオフィス）ルーターが使用不能となり、多くのユーザーのインターネットアクセスが中断されました。2023年10月25日から27日にかけて発生したこの重大な出来事は、Lumen Technologies Black Lotus Labsチームによって「Pumpkin Eclipse」と名付けられました。この攻撃は、非公開のインターネットサービスプロバイダー（ISP）が提供する3つの特定のルーターモデル（ActionTec T3200、ActionTec T3260、Sagemcom）を標的としていました。

72 時間の攻撃期間中、侵害を受けたルーターは恒久的な損傷を受け、ハードウェアの交換が必要になりました。このインシデントにより、ISP の自律システム番号 (ASN) に関連付けられたすべてのモデムの 49% が失われました。ISP の身元は公式には確認されていませんが、対応する機能停止と、影響を受けたモデムが「赤く点灯」しているというユーザーからの報告から、Windstream が攻撃の犯人である可能性が疑われています。

Lumen のその後の調査で、攻撃の犯人は Chalubo と呼ばれる市販のリモート アクセス トロイの木馬 (RAT) であることが判明しました。2018 年 10 月に Sophos が初めて指摘した Chalubo は、さまざまな SOHO/IoT カーネルを標的にし、 DDoS 攻撃を実行し、Lua スクリプトを実行する機能で知られています。攻撃者はカスタム ツールを使用するのではなく、Chalubo を使用して攻撃者の特定を困難にしていたようです。ルーターへの最初のアクセスに使用された正確な方法は不明ですが、脆弱な認証情報や公開された管理インターフェイスが関係している可能性があります。

アクセスが確保されると、マルウェアはシェル スクリプトを展開し、破壊的な Lua スクリプト モジュールを含む外部サーバーから Chalubo をダウンロードして起動します。ほとんどの攻撃は特定のルーター モデルまたは一般的な脆弱性をターゲットにしているため、このキャンペーンが単一の ASN に焦点を当てているのは異例であり、意図的で特定のターゲットを示唆していますが、攻撃者の動機は不明のままです。

ルーメンは、この攻撃が前例のない規模であることを強調し、これまでの事件では60万台を超えるデバイスの交換が必要になったことはなかったと指摘した。これに匹敵する事件としては、軍事侵攻に先立って発生したAcidRain攻撃があり、パンプキン・エクリプス事件の深刻さと特異性を強調している。