Mais de 600.000 roteadores de pequenos escritórios/escritórios domésticos (SOHO) estima-se que foram inutilizados e tirados do ar após um ataque cibernético destrutivo realizado por atores cibernéticos não identificados, prejudicando o acesso dos usuários à internet.

O evento misterioso, que ocorreu entre 25 e 27 de outubro de 2023, e afetou um único provedor de serviços de internet (ISP) nos EUA, foi codificado como “Eclipse de Abóbora” pela equipe do Black Lotus Labs da Lumen Technologies. Ele afetou especificamente três modelos de roteadores emitidos pelo ISP: ActionTec T3200, ActionTec T3260 e Sagemcom.

“O incidente ocorreu ao longo de um período de 72 horas entre 25 e 27 de outubro, deixando os dispositivos infectados permanentemente inoperantes e requerendo uma substituição baseada em hardware”, disse a empresa em um relatório técnico.

O apagão é significativo, não apenas porque levou à remoção abrupta de 49% de todos os modems do número do sistema autônomo (ASN) do ISP impactado durante o período de tempo.

Embora o nome do ISP não tenha sido divulgado, evidências apontam para que seja a Windstream, que sofreu uma queda de energia aproximadamente no mesmo período, fazendo com que os usuários relatassem uma “luz vermelha constante” exibida pelos modems afetados.

Agora, meses depois, a análise da Lumen revelou um trojan de acesso remoto de commodities (RAT) chamado Chalubo – um malware furtivo documentado pela primeira vez pela Sophos em outubro de 2018 – como responsável pelo sabotage, com o adversário optando por ele provavelmente em um esforço para complicar os esforços de atribuição em vez de usar um kit de ferramentas personalizado.

“O Chalubo possui cargas úteis projetadas para todos os principais kernels SOHO/IoT, funcionalidade pré-construída para realizar ataques DDoS e pode executar qualquer script Lua enviado ao bot”, disse a empresa. “Suspeitamos que a funcionalidade Lua provavelmente tenha sido utilizada pelo ator malicioso para recuperar a carga útil destrutiva.”

Dito isso, o método exato de acesso inicial usado para violar os roteadores ainda não está claro, embora se teorize que possa ter envolvido o abuso de credenciais fracas ou explorado uma interface administrativa exposta.

Após obter um ponto de apoio bem-sucedido, a cadeia de infecção avança para dropar scripts de shell que preparam o caminho para um carregador projetado para recuperar e lançar o Chalubo de um servidor externo. O módulo de script Lua destrutivo buscado pelo trojan é desconhecido.

Um aspecto notável da campanha é sua focalização em um único ASN, ao invés de outros que tipicamente tiveram como alvo um modelo específico de roteador ou uma vulnerabilidade comum, levantando a possibilidade de que tenha sido deliberadamente visada, embora as motivações por trás dela ainda não estejam determinadas.

“O evento foi sem precedentes devido ao número de unidades afetadas – nenhum ataque que possamos recordar exigiu a substituição de mais de 600.000 dispositivos”, disse a Lumen. “Além disso, esse tipo de ataque só aconteceu uma vez antes, com o AcidRain sendo usado como precursor de uma invasão militar ativa.”