去年10月,一家總部位於美國阿肯色州小石城的ISP公司Windstream,經歷了前所未有的技術災難。數十萬用戶的路由器突然失靈,引發了大規模的網路服務中斷。這一事件震驚了整個網路業,並揭示了網絡安全的新威脅。
事件起因以及影響用戶
自10月25日起,Windstream的用戶在網上論壇紛紛報告他們的路由器無法正常運作。一名用戶描述道:「路由器現在只是靜靜地亮著紅燈,就算按了重設也完全不理會。」這些用戶所用的路由器,是Windstream為用戶提供的ActionTec T3200型號。
在短短幾天內,大量用戶報告了網絡完全癱瘓的情況,指責是公司推送的更新導致了他們家中的路由器故障。Windstream提供的寬頻服務在美國18個州擁有約160萬用戶,影響範圍包括愛荷華州、阿拉巴馬州和喬治亞州等。
安全公司的調查結果
安全公司Lumen Technologies旗下的Black Lotus Labs於週四發布了一份報告,為此事件提供了新的線索。根據該報告,整起事件是由神秘的惡意軟體所導致,從10月25日開始的72小時內,該軟體破壞了超過60萬台路由器,將這些路由器連接到一個自治系統( ASN),該自治系統號屬於一家未具名的 ISP的自治系統編號(ASN)。
自治系統(Autonomous system, AS)是指在網際網路中,一個或多個實體管轄下的所有IP網路和路由器的組合,它們對網際網路執行共同的路由策略。儘管AS支援了這多個自治系統,但對網際網路來說只能看到該AS的路由策略。所以AS必須具有一個公開且正式登記的自治系統編號(ASN)。
研究人員指出,這次攻擊與Windstream用戶在10月份的報告細節相當一致,包括受影響的路由器型號和停止運行的紅燈狀態。雖然Windstream拒絕回應,但研究顯示這些路由器是被名為Chalubo的惡意軟體永久性地覆蓋了韌體。
事件影響和反應
Black Lotus Labs表示,這次惡意韌體更新是蓄意行為,目的是造成網絡中斷。這一事件對農村和服務不足的社區影響尤為嚴重,可能導致居民無法獲得緊急服務,農業企業失去遠程監控農作物的能力,醫療服務也受到干擾。
在路由器大規模中斷後,Black Lotus Labs開始在Censys搜索引擎上查詢受影響的路由器型號。一週的快照很快顯示,就在報告開始時,一個特定 ASN 的這些型號路由器下降了 49%。這相當於至少 179,000 台 ActionTec 路由器和超過 480,000 台 Sagemcom 出售的路由器斷開連接。
據 Black Lotus Labs 稱,這些路由器--保守估計至少有 600000 台--是被一個動機同樣不明的未知威脅行為者破壞的。該行為者故意使用名為Chalubo 的惡意軟體,而不是定製開發的工具包來掩蓋行蹤。Chalubo 內建的一項功能允許行為者在受感染裝置上執行自訂Lua指令碼。研究人員認為,該惡意軟體下載並運行的程式碼永久性地覆蓋了路由器韌體。
報告指出:「我們很有信心地認為,惡意韌體更新是一種蓄意行為,目的是造成網路中斷,雖然我們預計Internet上會有許多路由器品牌和型號受到影響,但這一事件僅限於單一的 ASN。」
專家建議
研究人員指出,這次攻擊的規模和專注於特定的ASN,使其與以往的攻擊不同。以往的攻擊通常針對特定的路由器型號或常見漏洞,而這次則集中在單一供應商的網絡中。雖然研究人員尚未確定感染路由器的最初手段,但他們建議用戶採取通用的安全措施,包括安裝安全更新、使用強密碼替換默認密碼和定期重啟設備。
這次針對Windstream的攻擊表明,網絡安全威脅日益嚴峻,特別是針對大型ISP的惡意行為。相關機構和用戶需提高警惕,加強防範措施,以應對未來可能的安全挑戰。
- 延伸閱讀:GitHub 爆出安全漏洞,評論功能可被駭客偽裝成微軟官方來分發惡意軟體
- 延伸閱讀:macOS 平台發現加密劫持惡意軟體,透過盜版 Final Cut Pro 分發
- 延伸閱讀:新的Linux惡意軟體用IoT設備挖礦、連你家電視、冰箱的算力都不放過,大小還只有 376 bytes
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!