Jak trojský kůň Chalubo vyřadil přes 600 000 routerů v USA
Bezprecedentní útok na routery zanechal koncem loňského října 600 000 domácností bez internetu. Teprve teď výzkumníci zjišťují reálný rozsah škod. Událost nemá obdoby především v počtu postižených zařízení..
S půlročním zpožděním
Výzkumníci teprve teď začínají skládat dohromady informace o rozsahu kybernetického útoku, ke kterému došlo během 72 hodin mezi 25. a 27. říjnem loňského roku. Routery najednou začaly „umírat“ a LED indikátory zobrazovaly pouze statické červené světlo.
Online fóra se zaplnila lavinou stížností a call centra zákaznické podpory měla jediné vysvětlení – bude se muset vyměnit celá jednotka. Tisíce SOHO (Small Office/Home Office) routerů nakažených trojským koněm pro vzdálený přístup (RAT), s názvem „Chalubo“, byly vyřazeny z provozu a neobešly se bez výměny hardware.
Výměna více než 600 tisíc zařízení
„Tato událost nemá obdoby v počtu postižených zařízení – nepamatujeme si žádný útok, který by si vyžádal výměnu více než 600 000 zařízení,“ uvedli ve zprávě výzkumníci společnosti Lumen Technologies‘ Black Lotus Labs.
Data z veřejných scanů potvrdila náhlé odstranění 49 % všech modemů z autonomního systémového čísla (ASN) postiženého ISP. „Tyto zprávy nás vedly k domněnce, že problém je pravděpodobně problémem s firmwarem, protože většina ostatních problémů by mohla být vyřešena obnovením továrního nastavení,“ uvedla společnost Lumen.
Trojský kůň řádil především na venkově
Kybernetický útok postihl rodiny ve venkovských a nedostatečně obsluhovaných oblastech. Obyvatelé zůstali bez přístupu k záchranným službám, zemědělci mohli během sklizně přijít o kritické informace z dálkového monitorování plodin. A poskytovatelé zdravotní péče byli odříznuti od zdravotních záznamů pacientů nebo od telemedicíny.
„Na základě 30denního snímku z října společnost Lumen identifikovala přes 330 000 unikátních IP adres, které komunikovaly s jedním ze 75 pozorovaných C2 uzlů po dobu alespoň dvou dnů, což naznačuje potvrzenou infekci,“ popsal Lumen.
Za vším stojí škodlivá aktualizace firmware
Podle výzkumníků nebyl malware Chalubo napsán speciálně pro destruktivní akce. Jde o běžný nástroj, který si hackeři mohli vybrat hlavně k zastření pachatele. „S vysokou mírou jistoty tvrdíme, že škodlivá aktualizace firmwaru byla úmyslným činem s cílem způsobit výpadek, a ačkoli jsme očekávali, že bude po internetu ovlivněno několik značek a modelů routerů, tato událost se omezila na jediný ASN,“ uvedla společnost Lumen.
Možná slabá hesla, možná exponované rozhraní
Výzkumníci si nejsou jisti, jak se blackhatům podařilo získat počáteční přístup. Postižené modely v té době neměly žádné obecně známé exploity. Je pravděpodobné, že útočník zneužil slabá hesla nebo zneužil exponované administrativní rozhraní.
Po vstupu útočníci stáhli a spustili škodlivý skript s názvem „ger_scrpc“, který povolil veškerý síťový provoz: a stáhl další spustitelné soubory. Malware poté shromažďuje informace o zařízení, jako je adresa MAC, ID zařízení, typ, verze a místní IP adresa.
Proč tento útok?
Důvod prozatím není potvrzen, setkáváme se jen se spekulacemi. Roger Grimes ze společnosti KnowBe4 rozvinul jednu ze spekulací: „A jaká by byla motivace pro zákeřné hackery, aby zlikvidovali stovky tisíc neopravených modemů? Nepřekvapilo by mě, kdyby poskytovatelé internetu dostali vyděračské oznámení a buď ho ignorovali, nebo neuspěli při vyjednávání o výši výkupného.“
Ale dodává i další možnost: „Hackeři to možná udělali jen proto, že mohli.“
Chytrá elektronika mě baví, fascinuje a stále nechává napjatou, co nového zase dokáže. Vyznám se ve financích a taky v astronomii.
