Lumen Technologiesは5月30日(米国時間)、「The Pumpkin Eclipse - Lumen」において、特定のインターネットサービスプロバイダー(ISP: Internet Service Provider)を標的としたサイバー攻撃により管理下にある60万台を超えるルータが破壊されたと報じた。ISPの詳細は明らかにしていないが、ISPの自律システム番号(ASN: Autonomous System number)による推定で全ルーターの約49%が破壊されたと説明している。

  • The Pumpkin Eclipse - Lumen

    The Pumpkin Eclipse - Lumen

破壊されたルータの概要

Lumen Technologiesによると標的になったルータは、次に示す小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)向けルータとされる。

  • ActionTec T 3200
  • ActionTec T 3260
  • Sagemcom F5380

攻撃は2023年10月25日から27日(米国時間)まで実施されたとみられ、10月25日から障害報告が急増したという。Lumen Technologiesは突然の障害報告増加とその内容からファームウェアの障害を疑い、調査を実施している。調査ではルータの機種特定および影響範囲を自律システム番号から特定する作業が行われた。

その結果、上記3機種を特定し、影響が単一のISPにとどまることがわかったという。また、自律システム番号の比較で約49%のデバイス減少が確認できたとしている。

  • 自律システム番号に基づいたデバイス数の推移 - 引用:Lumen Technologies

    自律システム番号に基づいたデバイス数の推移  引く用:Lumen Technologies

サイバー攻撃の詳細

Lumen Technologiesは同社の「Black Lotus Labs」が保有するグローバルテレメトリーを使用して追加の調査を実施し、攻撃者のコマンド&コントロール(C2: Command and Control)サーバを特定している。そして、遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「Chalubo RAT」を使用したサイバー攻撃による破壊だったことを突き止めている。

  • 本事案における感染経路 - 引用:Lumen Technologies

    感染経路  引用:Lumen Technologies

これまでのところ、ルータへの初期アクセス方法はわかっていない。現在使用可能な既知の脆弱性は確認できておらず、脆弱な認証情報の使用または公開インタフェースに未知の脆弱性が存在したものと予想されている。

攻撃者は何らかの方法でデバイスを侵害すると最初にデバイス情報を窃取する。次にC2サーバへの接続を確立し、分析妨害などを実行してからマルウェア「Chalubo RAT」を展開する。Chalubo RATは自身や関連ファイルをファイルシステムから削除し、追加のLuaスクリプトの実行を待機する。

Lumen Technologiesは攻撃者のC2サーバからいくつかのLuaスクリプトを取得している。それらの中には分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)を実行するスクリプトがあるという。しかしながら、デバイスを破壊したLuaスクリプトは取得できておらず、破壊した方法はわかっていない。

対策

侵害されたデバイスは交換対応となっていることから、工場出荷時に戻せない方法で破壊されたとみられている。このような攻撃からデバイスを保護するため、Lumen Technologiesは次のような対策の実施を推奨している。

  • デバイスのデフォルトパスワードは使用しない。一意の強力なパスワードを設定する
  • デバイスの管理インタフェースにインターネットからアクセスできないことを確認する
  • デバイスは定期的に再起動する
  • デバイスのファームウェアを常に最新の状態にする

また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/Pumpkin_Eclipse_IOCs.txt at main · blacklotuslabs/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。