互聯網服務提供商(ISP)Windstream的眾多訂戶報告說,他們的路由器在2023年10月突然停止運行。這些投訴淹沒了在線論壇,用戶指出,儘管有各種疑慮嘗試嘗試,但Windstream提供的ActionTec T3200路由器還是無反應的。
風流客戶表達了挫敗感
當您的路由器突然停止工作時,特別是如果您非常需要工作或任何目的,您會質疑ISP是否在另一端解決某個問題。
作為ARS Technica報導說,一位風流用戶分享說,路由器只用穩定的紅燈閃爍,並且對重置的反應無反應。顯然,這不是一個孤立的情況。
許多客戶指責Windstream的問題,懷疑ISP的更新使他們的設備無法使用。
Windstream的動力學寬帶服務為在18個州提供約160萬訂戶的服務,成為家庭和遠程工人的關鍵聯繫。
超過600,000個路由器受影響
安全公司Lumen Technologies的Black Lotus Labs最近發布了一份有關該事件的新燈的報告。他們的調查表明,從10月25日開始,惡意軟件已在72小時的時間內拆除了60萬路由器。
雖然涉及的ISP未命名,但詳細信息與Windstream用戶報告的詳細信息(包括路由器模型和事件的時機)匹配。
Chalubo故意惡意軟件攻擊
黑蓮花實驗室確定路由器是由使用一種商品惡意軟件Chalubo的威脅參與者妥協的。該惡意軟件允許執行自定義LUA腳本,其中可能包括永久覆蓋路由器固件的代碼。
報告說:“我們充滿信心地評估惡意固件更新是旨在導致停電的故意行為。”
攻擊
研究人員使用CENSYS搜索引擎來跟踪受影響的路由器模型,發現在事件期間,這些特定的自主系統編號(ASN)在這些模型中的下降了49%。這轉化為至少179,000個ActionTec路由器,超過480,000個Sagemcom路由器已斷開連接。
儘管路由器的連接和斷開連接不斷使跟踪過程變得複雜,但據估計,該惡意軟件的影響至少有600,000個路由器受到影響。
攻擊的獨特特徵
這次攻擊的兩個方面脫穎而出。首先,純粹的規模需要更換60萬台設備的硬件,這是俄羅斯入侵烏克蘭期間的酸性惡意軟件以前一次看到的先例。
其次,攻擊僅限於特定的ASN,影響單個提供商網絡中的多個路由器模型。這種特異性表明,成熟的網絡演員有意採取行動。
當時,攻擊背後的確切動機尚不清楚。儘管研究人員並未將攻擊歸因於一個民族國家,但複雜的水平表明這是可能的。他們尚未確定最初的感染向量,儘管它可能涉及利用漏洞,弱權或暴露的行政小組。
如何減輕未來攻擊
為了防止類似的事件,研究人員建議幾種最佳實踐。由於安全專家不知道為什麼首先發生這種突然的攻擊,因此目前他們所能提供的只是簡單的建議。
其中包括使用強密碼安裝安全更新以及定期重新啟動設備。 ISP和管理路由器的組織還應保護管理接口,以防止未經授權的訪問。
同時,一個背後的中國國民Botnet 911 S5方案被指控犯有欺詐和陰謀。如果被證明有罪,Yunhe Wang將被監禁長達65年。
