Grupa Black Lotus Labs ir publicējusi incidentā iesaistītās ļaunprogrammatūras analīzes rezultātus, kā rezultātā pagājušā gada oktobrī 72 stundu laikā tika atspējoti vairāk nekā 600 tūkstoši viena no lielākajiem amerikāņu pakalpojumu sniedzējiem mājas maršrutētāju. sniedzējs ziņojumā nav nosaukts, taču minētie notikumi sakrīt ar Windstream incidentu). Kibernoziedznieku uzbrukuma ar koda nosaukumu Pumpkin Eclipse rezultātā tika sabojāta ļaunprātīgas programmatūras skarto ierīču programmaparatūra un nodrošinātājs bija spiests nomainīt gandrīz pusei savu klientu aprīkojumu - tīkla skenēšana parādīja, ka pēc incidenta ActionTec 179 tūkst. ierīces (T3200s) tika aizstātas ar cita ražotāja aprīkojumu un T3260s) un 480 tūkstoši Sagemcom ierīču (F5380).
Uzbrukums tika veikts, izmantojot tipisko Chalubo ļaunprogrammatūru, kas pazīstama kopš 2018. gada un organizē centralizētu botneta kontroli, un to izmanto, lai Linux-ierīces, kuru pamatā ir 32 un 64 bitu ARM, x86, x86_64, MIPS, MIPSEL un PowerPC arhitektūras. Nav informācijas par to, kā tieši ierīces tika apdraudētas, lai instalētu ļaunprogrammatūru. Pētnieki tikai spekulē, ka piekļuvi ierīcēm varēja iegūt pakalpojumu sniedzējs, norādot vājus akreditācijas datus, izmantojot standarta paroli, lai piekļūtu administrēšanas saskarnei, vai izmantojot nezināmas ievainojamības.
Chalubo ļaunprogrammatūra ietver trīs izvietošanas posmus. Pēc ievainojamības izmantošanas vai kompromitētu akreditācijas datu izmantošanas ierīcē tiek palaists bash skripts. Šis skripts sistēmā pārbauda ļaunprātīgo izpildāmo failu /usr/bin/usb2rci un, ja tā nav, atspējo pakešu filtra bloķēšanu, izpildot komandu "iptables -P INPUT ACCEPT;iptables -P OUTPUT ACCEPT;", un pēc tam lejupielādē komandu un vadības failu no ļaunprātīga lietotāja. serveris (C&C) skripts get_scrpc.
Skripts get_scrpc novērtē usb5rci faila md2 kontrolsummu un, ja tā neatbilst noteiktai vērtībai, tas ielādē otro get_fwuueicj skriptu, kas pārbauda /tmp/.adiisu faila klātbūtni un, ja tāda nav, izveido to un ielādē. ļaunprogrammatūras galveno izpildāmo failu, kas apkopots MIPS R3000 centrālajam procesoram, /tmp direktorijā ar nosaukumu “crrs” un pēc tam palaiž to.
Darbības fails apkopo informāciju par resursdatoru, piemēram, MAC adresi, ierīces ID, programmatūras versiju un lokālās IP adreses, un nosūta to ārējam resursdatoram, pēc tam pārbaudot vadības pieejamību. serveriem un lejupielādē galveno ļaunprogrammatūras komponentu, kas tiek atšifrēts, izmantojot ChaCha20 straumes šifru. Galvenais komponents var lejupielādēt un izpildīt patvaļīgus Lua skriptus no komandu un vadības servera, definējot turpmāko darbību loģiku, piemēram, dalību DDoS uzbrukumos.
Tiek uzskatīts, ka uzbrucēji, kuriem ir piekļuve robottīkla vadības serveriem, izmantoja Chalubo spēju lejupielādēt un izpildīt skriptus Lua, lai pārrakstītu ierīces programmaparatūru un atspējotu aprīkojumu. Incidents ir ievērības cienīgs ar to, ka, neskatoties uz ļaunprogrammatūras Chalubo izplatību (2024. gada sākumā tika reģistrēti vairāk nekā 330 tūkstoši IP, piekļūstot zināmiem robottīklu vadības serveriem), aprakstītās kaitīgās darbības aprobežojās tikai ar vienu pakalpojumu sniedzēju, kas liek domāt, ka uzbrukums tika mērķēts.
Avots: opennet.ru
