Black Lotus Labs-gruppen har publisert resultatene av en analyse av skadevaren involvert i hendelsen, som et resultat av at i oktober i fjor ble mer enn 72 tusen hjemmerutere fra en av de store amerikanske leverandørene deaktivert innen 600 timer (den leverandør er ikke navngitt i rapporten, men de nevnte hendelsene sammenfaller med Windstream-hendelsen). Som et resultat av nettkriminelles angrep, kodenavnet Pumpkin Eclipse, ble fastvaren til enheter berørt av skadelig programvare skadet og leverandøren ble tvunget til å erstatte utstyret til nesten halvparten av kundene sine - en nettverksskanning viste at etter hendelsen, 179 tusen ActionTec enheter (T3200s) ble erstattet med utstyr fra en annen produsent og T3260s) og 480 tusen Sagemcom-enheter (F5380).
Angrepet ble utført med den typiske Chalubo-skadevaren, kjent siden 2018, som organiserer sentralisert kontroll over et botnett og brukes til Linux– enheter basert på 32- og 64-biters ARM-, x86-, x86_64-, MIPS-, MIPSEL- og PowerPC-arkitekturer. Det finnes ingen informasjon om nøyaktig hvordan enhetene ble kompromittert for å installere skadelig programvare. Forskere spekulerer bare i at tilgang til enhetene kan ha blitt oppnådd ved at leverandøren oppga svake påloggingsinformasjoner, brukte et standardpassord for å få tilgang til administrasjonsgrensesnittet eller utnyttet ukjente sårbarheter.
Chalubo-skadevaren involverer tre distribusjonsfaser. Etter å ha utnyttet en sårbarhet eller brukt kompromitterte legitimasjonsopplysninger, startes et bash-skript på enheten. Dette skriptet sjekker etter den skadelige kjørbare filen /usr/bin/usb2rci på systemet, og hvis den ikke er tilstede, deaktiverer det blokkering av pakkefilter ved å kjøre "iptables -P INPUT ACCEPT;iptables -P OUTPUT ACCEPT;", og laster deretter ned en kommando- og kontrollfil fra en ondsinnet bruker. server (C&C)-skript get_scrpc.
Get_scrpc-skriptet evaluerer md5-sjekksummen til usb2rci-filen, og hvis det ikke samsvarer med en viss verdi, laster det det andre get_fwuueicj-skriptet, som sjekker for tilstedeværelsen av /tmp/.adiisu-filen og, hvis den er fraværende, oppretter den og laster inn den kjørbare hovedfilen til skadevaren, kompilert for MIPS R3000 CPU, i /tmp-katalogen under navnet "crrs", og starter den deretter.
Den kjørende filen samler informasjon om verten, for eksempel MAC-adresse, enhets-ID, programvareversjon og lokale IP-adresser, og sender den til den eksterne verten, hvoretter den sjekker tilgjengeligheten av kontroll. servere og laster ned hovedkomponenten av skadelig programvare, som dekrypteres ved hjelp av ChaCha20-strømkrypteringen. Hovedkomponenten kan laste ned og kjøre vilkårlige Lua-skript fra kommando- og kontrollserveren, og definere logikken for videre handlinger, for eksempel deltakelse i DDoS-angrep.
Det antas at angripere med tilgang til botnettets kontrollservere brukte Chalubos evne til å laste ned og utføre skript i Lua for å overskrive enhetens fastvare og deaktivere utstyr. Hendelsen er bemerkelsesverdig ved at til tross for utbredelsen av Chalubo malware (i begynnelsen av 2024 ble det registrert mer enn 330 tusen IP-er med tilgang til kjente botnett-kontrollservere), var de beskrevne ondsinnede handlingene begrenset til bare én leverandør, noe som tyder på at angrepet ble målrettet.
Kilde: opennet.ru
