Ένα botnet με το όνομα «Pumpkin Eclipse» πραγματοποίησε ένα μυστηριώδες καταστροφικό γεγονός το 2023, που κατέστρεψε 600.000 δρομολογητές Διαδικτύου office/home office (SOHO) εκτός σύνδεσης, διακόπτοντας την πρόσβαση των πελατών στο διαδίκτυο.
Δείτε επίσης: CatDDoS botnet: Αυξημένες μολύνσεις για διεξαγωγή επιθέσεων DDoS
Σύμφωνα με ερευνητές στο Lumen’s Black Lotus Labs, που παρατήρησαν το περιστατικό, διέκοψε την πρόσβαση στο Διαδίκτυο σε πολλές πολιτείες μεταξύ 25 Οκτωβρίου και 27 Οκτωβρίου 2023. Αυτό άφησε τους κατόχους των μολυσμένων συσκευών χωρίς άλλη επιλογή παρά να αντικαταστήσουν τους δρομολογητές τους.
Αν και μεγάλης κλίμακας, το botnet Pumpkin Eclipse είχε επικεντρωμένη επίδραση, επηρεάζοντας έναν μεμονωμένο πάροχο υπηρεσιών Διαδικτύου (ISP) και τρία μοντέλα δρομολογητών που χρησιμοποιεί η εταιρεία: τους ActionTec T3200s, ActionTec T3260s και Sagemcom F5380.
Η Black Lotus Labs λέει ότι ο συγκεκριμένος ISP εξυπηρετεί ευάλωτες κοινότητες στις Ηνωμένες Πολιτείες και υπέστη μείωση κατά 49% στα μόντεμ λειτουργίας λόγω του botnet «Pumpkin Eclipse».
Αν και η Black Lotus δεν κατονόμασε τον ISP, έχει μια εντυπωσιακή ομοιότητα με μια διακοπή της Windstream που συνέβη κατά το ίδιο χρονικό διάστημα. Από τις 25 Οκτωβρίου 2023, οι πελάτες της Windstream άρχισαν να αναφέρουν στο Reddit ότι οι δρομολογητές τους δεν λειτουργούσαν πλέον.
Δείτε ακόμα: Το Ebury malware botnet έχει μολύνει 400.000 Linux servers
Οι συνδρομητές που επηρεάστηκαν από τη διακοπή της Windstream ενημερώθηκαν ότι έπρεπε να αντικαταστήσουν τους δρομολογητές με νέους για να αποκαταστήσουν την πρόσβασή τους στο Διαδίκτυο.
Επτά μήνες αργότερα, μια νέα έκθεση της Black Lotus μπορεί τελικά να ρίξει λίγο φως στο περιστατικό, εξηγώντας ότι ένα botnet γνωστό ως Pumpkin Eclipse, ήταν υπεύθυνο για την καταστροφή 600.000 δρομολογητών στις μεσοδυτικές πολιτείες σε έναν μόνο ISP τον Οκτώβριο του 2023.
Οι ερευνητές δεν μπόρεσαν να βρουν την ευπάθεια που χρησιμοποιήθηκε για την αρχική πρόσβαση, επομένως οι εισβολείς είτε χρησιμοποίησαν ένα άγνωστο ελάττωμα zero-day είτε εκμεταλλεύτηκαν αδύναμα διαπιστευτήρια σε συνδυασμό με μια εκτεθειμένη διαχειριστική διεπαφή.
Δυστυχώς, οι ερευνητές δεν μπόρεσαν να βρουν το ωφέλιμο φορτίο που χρησιμοποιήθηκε για την καταστροφή των δρομολογητών, έτσι δεν μπόρεσαν να προσδιορίσουν πώς έγινε ή για ποιο σκοπό. Η Black Lotus Labs σημειώνει ότι είναι η πρώτη φορά, εκτός από το περιστατικό “AcidRain“, που ένα κακόβουλο λογισμικό botnet διατάχθηκε να καταστρέψει τους κεντρικούς υπολογιστές του και να προκαλέσει μεγάλης κλίμακας οικονομική ζημιά επιβάλλοντας αντικαταστάσεις υλικού.
Δείτε επίσης: To botnet Phorpiex έστειλε εκατ. emails για διανομή του LockBit Black ransomware
Τι είναι τα Botnet;
Ένα botnet, όπως το Pumpkin Eclipse, είναι ένα δίκτυο ιδιωτικών υπολογιστών που έχουν μολυνθεί με κακόβουλο λογισμικό και ελέγχονται ως ομάδα χωρίς τη γνώση των κατόχων τους. Τα botnet χρησιμοποιούνται συνήθως για την εκτέλεση κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDoS), την αποστολή ανεπιθύμητων μηνυμάτων και την κλοπή δεδομένων. Οι υπολογιστές σε ένα botnet, που συχνά αναφέρονται ως “zombies“, μπορούν να κατευθυνθούν από έναν μόνο διακομιστή εντολών και ελέγχου, ο οποίος εκδίδει οδηγίες στα μολυσμένα μηχανήματα. Η απειλή από τα botnets είναι σημαντική, καθώς μπορούν να διαταράξουν τις υπηρεσίες, να παραβιάσουν ευαίσθητες πληροφορίες και να συμβάλουν σε εκτεταμένες παραβιάσεις της ασφάλειας στον κυβερνοχώρο.
Πηγή: bleepingcomputer
