资安业者Lumen Technologies本周揭露一起发生在去年10月的资安事故,指出骇客故意锁定某家美国ISP业者,自远端摧毁了该ISP业者所属之自治系统(Autonomous System Number,ASN)中多达60万台的路由器,占该ASN中路由器数量的49%,而且无法借由韧体更新修补,而是必须更换装置。《Bleeping Computer》则报导,从时间点及所发生的事故来看,Lumen未指名的那家ISP业者应是Windstream。
Lumen去年10月于公开论坛与故障侦测机制上发现,有大量使用者投诉Windstream的路由器装置突然亮红灯且无法使用,而且在打电话给ISP客服之后,对方的回应是必须更换整个装置。Lumen指出,大多数类似的问题只要更新路由器韧体或是回复出厂预设值即可解决,但此事显然并非如此,促使其展开进一步的调查。
遥测显示,属于该ISP业者的某个ASN上特定品牌的路由器数量在一周内大幅下滑,其中,ActionTec路由器减少了17.9万台,Sagemcom路由器减少了48万台,进一步分析之后发现了用来安装Chalubo远端存取木马的多阶段感染机制,因而相信这些已经无法运作的路由器感染了Chalubo。
Chalubo是个针对SOHO闸道器与物联网装置的僵尸网路,内建DDoS攻击能力,而且可于受骇装置上执行任何的Lua脚本程式,Lumen怀疑骇客利用了Lua功能来摧毁上述路由器。
有鉴于大多数针对物联网装置的僵尸病毒主要锁定品牌或装置类别,显少针对特定业者或ASN展开攻击,使得Lumen认为这是骇客故意展开的目标式攻击行动,还直接破坏装置,令其完全无法运作。
上一次类似的破坏性攻击行动源自于AcidRain恶意程式,它能自远端删除及覆写装置上的资料,并重新启动装置,以让装置完全停罢。此事发生在乌俄战争之际,当时美国Viasat位于乌克兰的卫星路由器KA-SAT遭到AcidRain破坏,并波及欧洲其它地区的路由器。
Lumen并不认为此次的攻击行动与国家级骇客有关,但还是建议使用者不应仰赖装置上的预设密码,也应定期更新装置。