Pumpkin Eclipse onemogućio 600.000 rutera

Sigurnosni istraživači iz Black Lotus Labs su u oktobru 2023. godine primijetili botnet pod nazivom “Pumpkin Eclipse” koji je kompromitovao preko 600.000 rutera za kancelariju i kućnu kancelariju (eng. office and home office – SOHO) u nečemu što se čini koordinisanim napadom na određenog provajdera internet usluga (eng. internet service provider – ISP).

SOHO RUTERI

SOHO ruteri su mrežni uređaji dizajnirani za mala preduzeća i kućne kancelarije. Oni služe kao kritična komponenta svakog mrežnog podešavanja omogućavajući povezivanje sa različitim uređajima kao što su računari, štampači, pametni telefoni i drugi IoT uređaji. Ovi ruteri dolaze sa ugrađenim funkcijama kao što su zaštitni zidovi, Wi-Fi pristupne tačke i VPN podrška koje ih čine raznovrsnim i pogodnim za ličnu i profesionalnu upotrebu.

Uprkos širokoj upotrebi, SOHO ruteri se često suočavaju sa brojnim bezbjednosnim izazovima iz različitih razloga. Neke od najčešćih ranjivosti uključuju zastareli upravljački softver (eng. firmware), slabe lozinke, neobezbijeđen daljinski pristup i nedostatak enkripcije za Wi-Fi mreže. Ove slabosti ih čine privlačnom metom za zlonamjerne aktere koji žele da se infiltriraju u mrežu ili pokrenu napade na povezane uređaje.

 

PUMPKIN ECLIPSE

Iako su bezbjednosni izazovi sa kojima se SOHO ruteri suočavaju dobro poznati, sigurnosnu zajednicu potresla je vest o masovnom botnet napadu. Ovaj napada je inficirao preko 600.000 SOHO rutera koji su pripadali jednom pružaocu internet usluga (ISP) čime su uređaji postali neupotrebljivi zbog onoga što je sada poznato kao Pumpkin Eclipse napad.

 

“Sa velikom pouzdanošću procjenjujemo da je zlonamjerno ažuriranje upravljačkog softvera namjeran čin sa namjerom da izazove prekid rada. Destruktivni napadi ove prirode su veoma zabrinjavajući, posebno u ovom slučaju.”

– Black Lotus Labs –

 

Kompromitovanje rutera

Pumpkin Eclipse napad je ciljao specifične modele SOHO rutera – ActionTec T3200s, T3260s i vrlo vjerovatno Sagemcom F5380. Ovi uređaji se obično koriste u malim preduzećima i kućnim kancelarijama za obezbjeđivanje internet konekcije, što ih čini privlačnom metom za zlonamjerne aktere koji žele da dobiju pristup velikom broju mreža. Napadači su iskoristili ranjivost ili stekli neovlašteni pristup ovim ruterima, instalirajući zlonamjerni softver poznat kao Chalubo. Vjeruje se da je ovaj trojanac za daljinski pristup (eng. remote access trojan – RAT) uvukao kompromitovane uređaje u botnet.

Između 25. i 27. oktobra 2023. godine ruteri su počeli da prestaju sa radom. Korisnici su prijavili da su njihovi uređaji prestali da funkcionišu, zbog čega je bila potrebna hardverska zamjena uređaja. Iako ISP nije naveden u izvještajima, postoje upadljive sličnosti između ovog događaja i prekida rada kompanije Windstream koji se dogodio u istom vremenskom periodu. U tom periodu, korisnici kompanije Windstream su prijavili da njihovi ruteri ne funkcionišu i da su izgubili internet konekciju. Pružala internet usluge nikada nije zvanično potvrdio tačan uzrok ovih problema, ostavljajući mnoge da se pitaju da li su bili žrtve sličnog napada.

 

“Značajan dio uslužne oblasti ovog pružaoca internet usluge pokriva ruralne ili nedovoljno pokrivene zajednice; mjesta gdje su stanovnici možda izgubili pristup hitnim službama, zabrinutost u poljoprivredi jer je možda izgubila kritične informacije od daljinskog praćenja usjeva tokom žetve, a zdravstveni radnici otsječeni od telezdravstva ili evidencije pacijenata.”

– Black Lotus Labs –

 

Chalubo zlonamjerni softver

Prvo, bitno je razumjeti da je Chalubo prikriveni zlonamjerni softver koji je kompanija Sophos prvi put dokumentovala u oktobru 2018. godine. On ima korisni teret dizajniran za sva glavna sistemska jezgra SOHO/IoT uređaja i unaprijed izgrađenu funkcionalnost za izvođenje napada distribuiranog uskraćivanja usluge (DDoS). U ovom slučaju, Chalubo je korišćen kao primarni alat za kompromitovanje SOHO rutera pružaoca internet usluge, gdje je namjera napadača vjerovatno bila da zakomplikuje napore pripisivanja umjesto da koristi prilagođeni komplet alata.

Početni metod pristupa koji se koristi za dobijanje pristupa SOHO ruterima je trenutno nejasan; međutim, nagađa se da je to možda uključivalo zloupotrebu slabih akreditiva ili eksploataciju izloženog administrativnog okruženja. Kada je napadač stekao uspješno uporište u sistemu rutera, nastavio je sa lancem infekcije. Proces infekcije je započeo ispuštanjem shell skripti na kompromitovane rutere, što je utrlo put za učitavač koji je na kraju dizajniran da preuzme i pokrene Chalubo sa spoljnog servera. Tačan način isporuke je nepoznat.

 

“Prvo, ova kampanja je rezultirala zamjenom pogođenih uređaja zasnovanom na hardveru, što vjerovatno ukazuje da je napadač oštetio upravljački softver na određenim modelima. Događaj je bio bez presedana zbog broja pogođenih jedinica — nijedan napad kojeg možemo da se sjetimo nije zahtijevao zamjenu preko 600.000 uređaja. Pored toga, ova vrsta napada se ikada ranije dogodila samo jednom, a AcidRain je korišćen kao prethodnik aktivne vojne invazije.”

– Black Lotus Labs –

 

Posljedice ovog napada bile su teške, sa skoro 600.000 SOHO rutera ili oko 49% uređaja internet pružaoca usluge koji su bili onemogućeni u periodu od 72 sata. Pogođeni korisnici su prijavili da njihovi uređaji pokazuju stalno upaljene crvene lampice i na kraju potpuno gube internet vezu. Ovo je ostavilo mnoge potrošače bez pristupa osnovnim internet uslugama na duži period. Inficirani uređaji su bili trajno nefunkcionalni, što je zahtijevalo zamjenu hardvera. Jedini ovako poznat destruktivan napad je bila upotreba AcidRain zlonamjernog softvera što je imalo za posljedicu otkazivanje KA-SAT modema. Napada je pripisan zlonamjernog grupi Sandworm, poznatoj još kao SeaShell Blizzard.

Sigurnosni istraživači vjeruju da je zlonamjerno ažuriranje upravljačkog softvera namjeran čin sa namjerom da izazove prekid rada. Napad je uticao samo na jedan ASN. ASN je skraćenica za broj autonomnog sistema (eng. autonomous system number – ASN), koji je jedinstveni broj za internet pružaoca usluge. Ono što je još bilo jedinstveno u vezi sa ovim napadom je to što je bio ograničen na jednog internet pružaoca usluge, a ne na određeni model rutera ili ranjivost.

 

“Drugi jedinstveni aspekt je da je ova kampanja bila ograničena na određeni ASN. Većina prethodnih kampanja koje smo vidjeli ciljaju određeni model rutera ili uobičajenu ranjivost i imaju efekte na mreže više provajdera. U ovom slučaju, primijetili smo da su i Sagemcom i ActionTec uređaji bili pogođeni u isto vreme, oba unutar mreže istog provajdera. To nas je navelo da procijenimo da to nije rezultat neispravnog ažuriranja upravljačkog softvera od strane jednog proizvođača, što bi inače bilo ograničeno na jedan model uređaja ili modele date kompanije. Naša analiza Censys podataka pokazuje da je uticaj bio samo za njih dvoje u pitanju. Ova kombinacija faktora dovela nas je do zaključka da je događaj vjerovatno bio namjerna radnja koju je preduzeo nepripisani zlonamjerni sajber akter, čak i ako nismo bili u mogućnosti da povratimo destruktivni modul.”

– Black Lotus Labs –

 

ZAKLJUČAK

Iz svega navedenog se može zaključiti da SOHO ruteri sve više postaju mete zlonamjernih aktera zbog svog velikog broja i potencijalnih ranjivosti. Nedavni napad koji je su identifikovali sigurnosni istraživači uključivao je kompromitovanje preko 600.000 SOHO rutera u kratkom periodu korištenjem trojanca za daljinski pristup Chalubo.

Zlonamjerni akteri su dobili neovlašten pristup ovim uređajima na nepoznate načine, vjerovatno zbog slabih akreditiva za autentifikaciju ili eksploataciju izloženog administrativnog okruženja. Kada su ušli, koristili su Chalubo zlonamjerni softver za preuzimanje i instaliranje zlonamjernog upravljačkog softvera na kompromitovane rutere, čineći ih trajno nefunkcionalnim i prisiljavajući da ih poslužilac internet usluga zamijeni da bi obnovio internet konekciju.

Posljedice ovakvih napada mogu biti ozbiljne, uključujući stvaranje botnet mreže za velike sajber napade ili slanje korisnika na zlonamjerne internet stranice uz povećanje pokrivenosti. Napadači takođe mogu koristiti ove kompromitovane uređaje kao sredstvo za pokretanje napada uskraćivanja usluge (DoS) na kritične infrastrukture.

 

ZAŠTITA

Da bi ublažili potencijalne rizike i zaštitili svoje SOHO rutere, korisnicima se savjetuje da slijede najbolje prakse kao što su:

1. Uvjeriti se da se uređaji ne oslanjaju na uobičajene podrazumijevane lozinke. Obavezno promijeniti podrazumijevano korisničko ime i lozinku za administrativni interfejs rutera. Koristiti jaku i jedinstvenu lozinku koju je napadačima teško pogoditi,
2. Osigurati se da interfejsi za upravljanje SOHO rutera nisu dostupni preko interneta. Ako je moguće, onemogućiti daljinski pristup ili ga ograničite na pouzdane IP adrese,
3. Redovno vršiti ponovno pokretanje rutera, što može pomoći u zaštiti od određenih vrsta napada i osigurati da su primijenjena bezbjednosna ažuriranja,
4. Održavati upravljački softver SOHO rutera ažurnim najnovijim bezbjednosnim ispravkama kako bi se uređaji zaštitili od poznatih ranjivosti,
5. Redovno nadgledati mrežni saobraćaj u potrazi za znakovima neobične aktivnosti, kao što su velike količine podataka koje se prenose ili višestruki neuspjeli pokušaji prijave,
6. Koristite zaštitni zid, je to može pomoći da se blokira neovlašteni pristup SOHO ruteru i spriječe napadači dođu do korisničke mreže,
7. Omogućiti šifrovanje na bežičnoj mreži kako bi se korisnici zaštitili od prisluškivanja i presretanja osjetljivih informacija,
8. Onemogućiti sve neiskorišćene ili nepotrebne funkcije na SOHO ruteru da bi se smanjila površina napada i smanjila potencijalna ranjivost uređaja,
9. Uvjeriti se da su svi korisnici u organizaciji ili domaćinstvu svjesni najboljih praksi za obezbjeđenje svojih uređaja i bezbjedno korišćenje interneta. Ovo može da spriječi napade da dođu do korisničke mreže preko kompromitovanih uređaja.

 

Važno je napomenuti da, iako ovi koraci mogu pomoći u zaštiti od mnogih vrsta napada, oni nisu konačno riješenje. Zlonamjerni akteri nastavljaju da razvijaju nove tehnike i taktike, tako da je od suštinskog značaja da korisnici ostanu informisani o najnovijim prijetnjama i ranjivostima i da preduzimaju odgovarajuće mjere za ublažavanje rizika.