Hơn 600.000 bộ định tuyến văn phòng / văn phòng tại nhà (SOHO) nhỏ được ước tính đã bị brick và ngoại tuyến sau một cuộc tấn công mạng phá hoại được dàn dựng bởi các tác nhân mạng không xác định, làm gián đoạn quyền truy cập internet của người dùng.
Sự kiện bí ẩn, diễn ra từ ngày 25 đến 27/10/2023 và ảnh hưởng đến một nhà cung cấp dịch vụ internet (ISP) duy nhất ở Mỹ, đã được nhóm Lumen Technologies Black Lotus Labs đặt tên mã là Pumpkin Eclipse. Nó đặc biệt ảnh hưởng đến ba mô hình bộ định tuyến do ISP phát hành: ActionTec T3200, ActionTec T3260 và Sagemcom.
Việc mất điện là đáng kể, không chỉ vì nó dẫn đến việc loại bỏ đột ngột 49% tất cả các modem khỏi số hệ thống tự trị (ASN) của ISP bị ảnh hưởng trong khung thời gian.
Mặc dù tên của ISP không được tiết lộ, nhưng bằng chứng chỉ ra rằng đó là Windstream, bị ngừng hoạt động cùng thời điểm, khiến người dùng báo cáo "đèn đỏ ổn định" được hiển thị bởi các modem bị ảnh hưởng.
Bây giờ, vài tháng sau, phân tích của Lumen đã tiết lộ một trojan truy cập từ xa hàng hóa (RAT) có tên Chalubo - một phần mềm độc hại tàng hình lần đầu tiên được Sophos ghi nhận vào tháng 10 năm 2018 - chịu trách nhiệm cho vụ phá hoại, với kẻ thù chọn nó có lẽ trong nỗ lực làm phức tạp các nỗ lực phân bổ thay vì sử dụng bộ công cụ tùy chỉnh.
Điều đó nói rằng, phương pháp truy cập ban đầu chính xác được sử dụng để vi phạm các bộ định tuyến hiện không rõ ràng, mặc dù có giả thuyết rằng nó có thể liên quan đến việc lạm dụng thông tin đăng nhập yếu hoặc khai thác giao diện quản trị bị lộ.
Sau khi đạt được chỗ đứng thành công, chuỗi lây nhiễm tiến hành thả các tập lệnh shell mở đường cho một trình tải cuối cùng được thiết kế để truy xuất và khởi chạy Chalubo từ một máy chủ bên ngoài. Mô-đun tập lệnh Lua phá hoại được tìm nạp bởi trojan vẫn chưa được biết.
Một khía cạnh đáng chú ý của chiến dịch là nhắm mục tiêu vào một ASN duy nhất, trái ngược với các ASN khác thường nhắm mục tiêu vào một mô hình bộ định tuyến cụ thể hoặc lỗ hổng phổ biến, làm tăng khả năng nó bị nhắm mục tiêu có chủ ý, mặc dù động cơ đằng sau nó vẫn chưa được xác định.