El grup Black Lotus Labs ha publicat els resultats d'una anàlisi del programari maliciós implicat en l'incident, com a resultat de la qual l'octubre de l'any passat es van desactivar més de 72 mil encaminadors domèstics d'un dels principals proveïdors nord-americans en 600 hores (el El proveïdor no es nomena a l'informe, però els esdeveniments esmentats coincideixen amb l'incident de Windstream). Com a resultat de l'atac dels ciberdelinqüents, amb el nom en clau Pumpkin Eclipse, el microprogramari dels dispositius afectats per programari maliciós es va danyar i el proveïdor es va veure obligat a substituir l'equip de gairebé la meitat dels seus clients; una exploració de la xarxa va mostrar que després de l'incident, 179 mil ActionTec els dispositius (T3200s) es van substituir per equips d'un altre fabricant i T3260s) i 480 mil dispositius Sagemcom (F5380).
L'atac es va dur a terme utilitzant el típic programari maliciós Chalubo, conegut des del 2018, que organitza el control centralitzat d'una botnet i s'utilitza per a Linux-dispositius basats en arquitectures ARM, x86, x86_64, MIPS, MIPSEL i PowerPC de 32 i 64 bits. No hi ha informació sobre com exactament es van comprometre els dispositius per instal·lar programari maliciós. Els investigadors només especulen que l'accés als dispositius podria haver estat obtingut pel proveïdor proporcionant credencials febles, utilitzant una contrasenya estàndard per accedir a la interfície d'administració o explotant vulnerabilitats desconegudes.
El programari maliciós Chalubo implica tres etapes de desplegament. Després d'explotar una vulnerabilitat o utilitzar credencials compromeses, s'inicia un script bash al dispositiu. Aquest script comprova si hi ha el fitxer executable maliciós /usr/bin/usb2rci al sistema i, si no hi és, desactiva el bloqueig del filtre de paquets executant "iptables -P INPUT ACCEPT;iptables -P OUTPUT ACCEPT;", i després descarrega un fitxer de comandaments i control d'un usuari maliciós. servidor Script (C&C) get_scrpc.
L'script get_scrpc avalua la suma de verificació md5 del fitxer usb2rci i si no coincideix amb un valor determinat, carrega el segon script get_fwuueicj, que comprova la presència del fitxer /tmp/.adiisu i, si no hi ha, el crea i carrega el fitxer executable principal del programari maliciós compilat per a la CPU MIPS R3000 al directori /tmp amb el nom "crrs" i després el llança.
El fitxer en execució recopila informació sobre l'amfitrió, com ara l'adreça MAC, l'ID del dispositiu, la versió del programari i les adreces IP locals, i l'envia a l'amfitrió extern, després del qual comprova la disponibilitat del control. servidors i descarrega el component principal de programari maliciós, que es desxifra mitjançant el xifratge de flux ChaCha20. El component principal pot descarregar i executar scripts Lua arbitraris des del servidor de comandament i control, definint la lògica per a accions posteriors, com ara participar en atacs DDoS.
Es creu que els atacants amb accés als servidors de control de la botnet van utilitzar la capacitat de Chalubo per descarregar i executar scripts a Lua per sobreescriure el firmware del dispositiu i desactivar l'equip. L'incident és destacable perquè, malgrat la prevalença del programari maliciós Chalubo (a principis de 2024, es van registrar més de 330 mil IPs accedint als servidors de control de botnets coneguts), les accions malicioses descrites es limitaven a un sol proveïdor, cosa que suggereix que l'atac era objectiu.
Font: opennet.ru
