Prieš kelias dienas, „Black Lotus Labs“ paskelbė, per naujausią ataskaitą, išsamią informaciją apie a pažeidžiamumas, dėl kurio daugiau nei 600,000 XNUMX maršrutizatorių liko nenaudingi mažiems ir namų biurams.
Ir tai per 72 valandų laikotarpį (25 m. spalio 27–2023 d.) daugiau nei 600,000 XNUMX maršruto parinktuvų buvo išjungta dėl nuotolinės prieigos Trojos arklys (RAT), žinomo kaip „Chalubo“. Dėl šio įvykio užkrėsti įrenginiai visam laikui neveikė ir prireikė juos fiziškai pakeisti.
Apie įvykį
„Black Lotus Labs“ savo publikacijoje praneša, kad ataka buvo įvykdyta naudojant Chalubo kenkėjišką programą, žinomą nuo 2018 m. organizuoja centralizuotą botneto valdymą ir yra naudojamas Linux įrenginiuose pagrįsta 86 ir 86 bitų ARM, x64, x32_64, MIPS, MIPSEL ir PowerPC architektūromis.
Chalubo kenkėjiška programa apima tris įgyvendinimo etapus:
- Bash scenarijaus paleidimas:
- Išnaudojant pažeidžiamumą arba naudojant pažeistus kredencialus, pažeistame įrenginyje vykdomas bash scenarijus.
- Šis scenarijus tikrina, ar nėra kenkėjiško vykdomojo failo
/usr/bin/usb2rci
. Jei failo nėra, scenarijus išjungia paketų filtrus suiptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;
.
- Get_scrpc scenarijaus įvertinimas:
- Scenarijus
get_scrpc
įvertina failo MD5 kontrolinę sumąusb2rci
. - Jei kontrolinė suma neatitinka iš anksto nustatytos vertės, scenarijus įkeliamas ir paleidžiamas antrasis scenarijus,
get_fwuueicj
.
- Scenarijus
- Vykdomas get_fwuueicj scenarijus:
- Šis scenarijus tikrina, ar nėra failo
/tmp/.adiisu
. Jei jo nėra, sukurkite jį. - Tada į katalogą įkeliamas pagrindinis kenkėjiškų programų vykdomasis failas, sudarytas MIPS R3000 CPU.
/tmp
su varducrrs
ir jį pradeda.
- Šis scenarijus tikrina, ar nėra failo
Mūsų analizė nustatė, kad „Chalubo“, nuotolinės prieigos Trojos arklys (RAT), yra pagrindinis už įvykį atsakingas krovinys. Šis Trojos arklys, pirmą kartą identifikuotas 2018 m., naudojo protingus būdus, kad nuslėptų savo veiklą; pašalino visus failus iš disko, kad būtų paleistas atmintyje, prisiėmė atsitiktinį proceso pavadinimą, jau esantį įrenginyje, ir užšifravo visus ryšius su komandų ir valdymo (C2) serveriu
Dėl Chalubo elgesys, sir mini, kad ji atlieka:
- Informacijos rinkimas ir siuntimas: Chalubo vykdomasis failas renka pagrindinio kompiuterio informaciją, pvz., MAC adresą, įrenginio ID, programinės įrangos versiją ir vietinius IP adresus, ir siunčia ją į išorinį serverį.
- Atsisiųskite ir paleiskite pagrindinį komponentą: Chalubo patikrina valdymo serverių prieinamumą ir atsisiunčia pagrindinį kenkėjiškos programos komponentą, kuris iššifruojamas naudojant ChaCha20 srauto šifrą.
- Vykdo lua scenarijus: pagrindinis komponentas gali atsisiųsti ir vykdyti savavališkus Lua scenarijus iš valdymo serverio, nustatydamas būsimus įrenginio veiksmus, pvz., dalyvavimą DDoS atakose.
Kaip toks konkrečios informacijos nėra apie tai, kaip tiksliai įrenginiai buvo pažeisti norint įdiegti kenkėjišką programą, ir apie tai tyrėjus Jie mano, kad prieiga prie įrenginių galėjo būti gauta dėl nepatikimų kredencialų tiekėjo pateiktą, bendro slaptažodžio naudojimas norint patekti į administravimo sąsają arba nežinomų pažeidžiamumų išnaudojimas. Kadangi užpuolikai, turintys prieigą prie botneto valdymo serverių, greičiausiai pasinaudojo Chalubo galimybe vykdyti Lua scenarijus, perrašydami įrenginio programinę-aparatinę įrangą ir ją išjungdami.
Neskaitant to, „Black Lotus Labs“ aptaria, kaip ši ataka turėjo reikšmingų pasekmių, įskaitant poreikį pakeisti techninę įrangą, ypač kaimo ir nepakankamai aptarnaujamose vietovėse, nes tinklo analizė po incidento atskleidė, kad 179 tūkstančiai „ActionTec“ įrenginių (T3200 ir T3260) ir 480 tūkstančių „Sagemcom“ įrenginių (F5380) buvo pakeisti kito gamintojo įranga.
Šis incidentas išsiskiria ne tik atakos mastu, bet ir tuo, kad, nepaisant Chalubo kenkėjiškų programų paplitimo (330,000 m. pradžioje daugiau nei 2024 XNUMX įrašytų IP prisijungė prie valdymo serverių), kenkėjiški veiksmai apsiribojo vienu teikėju, o tai rodo, kad labai specifinė ataka.
pagaliau jei esi nori sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.