資安業者Lumen Technologies本周揭露一起發生在去年10月的資安事故,指出駭客故意鎖定某家美國ISP業者,自遠端摧毀了該ISP業者所屬之自治系統(Autonomous System Number,ASN)中多達60萬臺的路由器,占該ASN中路由器數量的49%,而且無法藉由韌體更新修補,而是必須更換裝置。《Bleeping Computer》則報導,從時間點及所發生的事故來看,Lumen未指名的那家ISP業者應是Windstream。
Lumen去年10月於公開論壇與故障偵測機制上發現,有大量使用者投訴Windstream的路由器裝置突然亮紅燈且無法使用,而且在打電話給ISP客服之後,對方的回應是必須更換整個裝置。Lumen指出,大多數類似的問題只要更新路由器韌體或是回復出廠預設值即可解決,但此事顯然並非如此,促使其展開進一步的調查。
遙測顯示,屬於該ISP業者的某個ASN上特定品牌的路由器數量在一周內大幅下滑,其中,ActionTec路由器減少了17.9萬臺,Sagemcom路由器減少了48萬臺,進一步分析之後發現了用來安裝Chalubo遠端存取木馬的多階段感染機制,因而相信這些已經無法運作的路由器感染了Chalubo。
Chalubo是個針對SOHO閘道器與物聯網裝置的殭屍網路,內建DDoS攻擊能力,而且可於受駭裝置上執行任何的Lua腳本程式,Lumen懷疑駭客利用了Lua功能來摧毀上述路由器。
有鑑於大多數針對物聯網裝置的殭屍病毒主要鎖定品牌或裝置類別,顯少針對特定業者或ASN展開攻擊,使得Lumen認為這是駭客故意展開的目標式攻擊行動,還直接破壞裝置,令其完全無法運作。
上一次類似的破壞性攻擊行動源自於AcidRain惡意程式,它能自遠端刪除及覆寫裝置上的資料,並重新啟動裝置,以讓裝置完全停罷。此事發生在烏俄戰爭之際,當時美國Viasat位於烏克蘭的衛星路由器KA-SAT遭到AcidRain破壞,並波及歐洲其它地區的路由器。
Lumen並不認為此次的攻擊行動與國家級駭客有關,但還是建議使用者不應仰賴裝置上的預設密碼,也應定期更新裝置。
熱門新聞
2024-06-17
2024-06-18
2024-06-17
2024-06-18
2024-06-18
2024-06-18
2024-06-19