美國一間ISP的60萬台用戶家中路由器在72小時內全被「摧毀」,調查發現是惡意的韌體更新把路由器搞掛掉

美國一間ISP的60萬台用戶家中路由器在72小時內全被「摧毀」,調查發現是惡意的韌體更新把路由器搞掛掉

 

去年10月,一家總部位於美國阿肯色州小石城的ISP公司Windstream,經歷了前所未有的技術災難。數十萬用戶的路由器突然失靈,引發了大規模的網路服務中斷。這一事件震驚了整個網路業,並揭示了網絡安全的新威脅。

事件起因以及影響用戶

自10月25日起,Windstream的用戶在網上論壇紛紛報告他們的路由器無法正常運作。一名用戶描述道:「路由器現在只是靜靜地亮著紅燈,就算按了重設也完全不理會。」這些用戶所用的路由器,是Windstream為用戶提供的ActionTec T3200型號。

在短短幾天內,大量用戶報告了網絡完全癱瘓的情況,指責是公司推送的更新導致了他們家中的路由器故障。Windstream提供的寬頻服務在美國18個州擁有約160萬用戶,影響範圍包括愛荷華州、阿拉巴馬州和喬治亞州等。

美國一間ISP的60萬台用戶家中路由器在72小時內全被「摧毀」,調查發現是惡意的韌體更新把路由器搞掛掉

安全公司的調查結果

安全公司Lumen Technologies旗下的Black Lotus Labs於週四發布了一份報告,為此事件提供了新的線索。根據該報告,整起事件是由神秘的惡意軟體所導致,從10月25日開始的72小時內,該軟體破壞了超過60萬台路由器,將這些路由器連接到一個自治系統( ASN),該自治系統號屬於一家未具名的 ISP的自治系統編號(ASN)。

自治系統(Autonomous system, AS)是指在網際網路中,一個或多個實體管轄下的所有IP網路和路由器的組合,它們對網際網路執行共同的路由策略。儘管AS支援了這多個自治系統,但對網際網路來說只能看到該AS的路由策略。所以AS必須具有一個公開且正式登記的自治系統編號(ASN)。

研究人員指出,這次攻擊與Windstream用戶在10月份的報告細節相當一致,包括受影響的路由器型號和停止運行的紅燈狀態。雖然Windstream拒絕回應,但研究顯示這些路由器是被名為Chalubo的惡意軟體永久性地覆蓋了韌體。

事件影響和反應

Black Lotus Labs表示,這次惡意韌體更新是蓄意行為,目的是造成網絡中斷。這一事件對農村和服務不足的社區影響尤為嚴重,可能導致居民無法獲得緊急服務,農業企業失去遠程監控農作物的能力,醫療服務也受到干擾。

在路由器大規模中斷後,Black Lotus Labs開始在Censys搜索引擎上查詢受影響的路由器型號。一週的快照很快顯示,就在報告開始時,一個特定 ASN 的這些型號路由器下降了 49%。這相當於至少 179,000 台 ActionTec 路由器和超過 480,000 台 Sagemcom 出售的路由器斷開連接。

美國一間ISP的60萬台用戶家中路由器在72小時內全被「摧毀」,調查發現是惡意的韌體更新把路由器搞掛掉

據 Black Lotus Labs 稱,這些路由器--保守估計至少有 600000 台--是被一個動機同樣不明的未知威脅行為者破壞的。該行為者故意使用名為Chalubo 的惡意軟體,而不是定製開發的工具包來掩蓋行蹤。Chalubo 內建的一項功能允許行為者在受感染裝置上執行自訂Lua指令碼。研究人員認為,該惡意軟體下載並運行的程式碼永久性地覆蓋了路由器韌體。

報告指出:「我們很有信心地認為,惡意韌體更新是一種蓄意行為,目的是造成網路中斷,雖然我們預計Internet上會有許多路由器品牌和型號受到影響,但這一事件僅限於單一的 ASN。」

專家建議

研究人員指出,這次攻擊的規模和專注於特定的ASN,使其與以往的攻擊不同。以往的攻擊通常針對特定的路由器型號或常見漏洞,而這次則集中在單一供應商的網絡中。雖然研究人員尚未確定感染路由器的最初手段,但他們建議用戶採取通用的安全措施,包括安裝安全更新、使用強密碼替換默認密碼和定期重啟設備。

這次針對Windstream的攻擊表明,網絡安全威脅日益嚴峻,特別是針對大型ISP的惡意行為。相關機構和用戶需提高警惕,加強防範措施,以應對未來可能的安全挑戰。

 

 

 

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則