사이버 공격으로 미국에서 600,000개 이상의 라우터가 다운

[디지털비즈온 이호선 기자] 신원을 알 수 없는 사이버 행위자가 저지른 파괴적인 사이버 공격으로 인해 600,000개 이상의 소규모 사무실/홈 오피스(SOHO) 라우터가 차단되어 사용자의 인터넷 액세스가 중단된 것으로 추정된다고 해커뉴스가 밝혔다.

2023년 10월 25일에서 27일 사이에 발생하여 미국의 단일 인터넷 서비스 제공업체(ISP)에 영향을 미친 이 사건은 블랙로터스 연구소팀에 의해 코드명 Pumpkin Eclipse 로 지정되었다. 특히 ISP가 발행한 세 가지 라우터 모델인 ActionTec T3200, ActionTec T3260 및 Sagemcom에 영향을 미쳤다.

'Pumpkin Eclipse'라는 악성 코드 봇넷은 2023년에 600,000개의 사무실/홈 오피스(SOHO) 인터넷 라우터를 오프라인으로 파괴한 악성코드명이다.

블랙로터스의 기술 보고서에서 "이 사건은 10월 25일부터 27일까지 72시간 동안 발생했으며 감염된 장치를 영구적으로 작동할 수 없게 만들었고 하드웨어 기반 교체가 필요했습니다"라고 밝혔다.

또한 ISP의 이름은 공개되지 않았지만 증거에 따르면 같은 시기에 중단을 겪은 Windstream이 영향을 받은 모뎀에서 "계속 빨간색 표시등"이 표시된다고 사용자가 보고했다.

이제 몇 달 후 Lumen의 분석을 통해 Chalubo 라는 상용 원격 액세스 트로이 목마(RAT) (2018년 10월 Sophos가 처음 문서화한 은밀한 악성 코드)가 파괴 행위의 원인으로 밝혀졌으며, 공격자는 아마도 속성을 복잡하게 만들기 위한 노력의 일환으로 이를 선택했을 것입니다. 사용자 정의 툴킷을 사용하는 대신 노력하십시오.

"Chalubo는 모든 주요 SOHO/IoT 커널용으로 설계된 페이로드와 DDoS 공격을 수행하기 위한 사전 구축된 기능을 갖추고 있으며 봇으로 전송된 모든 Lua 스크립트를 실행할 수 있습니다."라고 회사는 말했습니다. "우리는 악의적인 공격자가 파괴적인 페이로드를 검색하기 위해 Lua 기능을 사용했을 가능성이 있다고 의심합니다."

즉, 라우터를 침해하는 데 사용된 정확한 초기 액세스 방법은 현재 불분명하지만 취약한 자격 증명을 남용하거나 노출된 관리 인터페이스를 악용했다는 의미다.

성공적인 기반을 확보하면 감염 체인은 궁극적으로 외부 서버에서 Chalubo를 검색하고 실행하도록 설계된 로더의 길을 닦는 셸 스크립트를 삭제해야된다.