Koma Black Lotus Labs encamên analîza malwareya ku di bûyerê de beşdar bûye weşandiye, ku di encamê de di Cotmeha sala borî de, zêdetirî 72 hezar routerên malê yên yek ji pêşkêşkerên sereke yên Amerîkî di nav 600 demjimêran de hatine asteng kirin. pêşkêşker di raporê de navê wî nehatiye dayîn, lê bûyerên navborî bi bûyera Windstream re hevaheng in). Di encama êrîşa sûcdarên sîber de, bi navê kod Pumpkin Eclipse, firmware cîhazên ku ji malware bandor bûne zirar dît û pêşkêşker neçar ma ku alavên hema hema nîvê xerîdarên xwe biguhezîne - skanek torê nîşan da ku piştî bûyerê, 179 hezar ActionTec Amûrên (T3200) bi alavên hilberînerekî din û T3260) û 480 hezar cîhazên Sagemcom (F5380) hatin guhertin.
Атака была совершена с использованием типового вредоносного ПО Chalubo, известного с 2018 года, организующего централизованное управление ботнетом и применяемого для Linux-устройств на базе 32- и 64-разрядных архитектур ARM, x86, x86_64, MIPS, MIPSEL, and PowerPC. Как именно устройства были скомпрометированы для установки вредоносного ПО информации нет, исследователи лишь предполагают, что доступ к устройствам мог быть получен в результате выставления провайдером ненадёжных учётных данных, использования типового пароля для входа в интерфейс администрирования или эксплуатации неизвестных уязвимостей.
Malwareya Chalubo sê qonaxên bicihkirinê dihewîne. Piştî bikaranîna lawaziyek an jî bikaranîna bawernameyên têkçûyî, skrîptek bash li ser cîhazê tê destpêkirin. Ev skrîpt pelê bicîhkirî yê xerabkar /usr/bin/usb2rci li ser pergalê kontrol dike û, heke ew tune be, astengkirina fîltera pakêtê bi bicîhanîna "iptables -P INPUT ACCEPT;iptables -P OUTPUT ACCEPT;" neçalak dike, û dûv re pelek ferman û kontrolê ji bikarhênerek xerabkar dakêşîne. server Skrîpta (C&C) get_scrpc.
Skrîpta get_scrpc hejmara kontrolê ya md5 ya pelê usb2rci dinirxîne û heke ew bi nirxek diyar re nebe, ew tîpa duyemîn get_fwuueicj bar dike, ku hebûna pelê /tmp/.adiisu kontrol dike û heke tune be, wê diafirîne û bar dike. pelê sereke ya îcrakar a malware, ku ji bo CPU MIPS R3000, di pelrêça / tmp de di bin navê "crrs" de hatî berhev kirin, û dûv re wê dest pê dike.
Pelê ku dixebite agahiyên li ser mêvandar, wek navnîşana MAC, nasnameya cîhazê, guhertoya nermalavê û navnîşanên IP yên herêmî berhev dike û dişîne mêvandara derveyî, piştî ku hebûna kontrolê kontrol dike. pêşkêşkerên û pêkhateya sereke ya malware dakêşîne, ku bi karanîna şîfreya herikîna ChaCha20 tê deşîfrekirin. Pêkhateya sereke dikare skrîptên Lua yên keyfî ji servera ferman û kontrolê dakêşîne û bicîh bîne, û mantiqa çalakiyên din, wekî beşdarbûna di êrîşên DDoS de, destnîşan bike.
Tê bawer kirin ku êrişkerên ku gihîştina serverên kontrolê yên botnet-ê bikar anîn kapasîteya Chalubo dakêşandin û darvekirina skrîptan li Lua bikar anîn da ku firmware cîhazê binivîsîne û amûran neçalak bike. Bûyer balê dikişîne ku tevî belavbûna malware Chalubo (di destpêka sala 2024-an de, zêdetirî 330 hezar IP-yên ku gihîştina serverên kontrolê yên botnet-ê yên naskirî hatine tomar kirin), kiryarên xirab ên diyarkirî tenê ji yek pêşkêşvanek re sînordar bûne, ku ev yek destnîşan dike ku êriş bû hedef.
Source: opennet.ru
