去年10月,一家总部位于美国阿肯色州小石城的ISP公司Windstream,经历了前所未有的技术灾难。数十万用户的路由器突然故障,引发了大规模的网络服务中断。这一事件震惊了整个网络业,并揭示了网络安全的新威胁。
自10月25日起,Windstream的用户在网上论坛纷纷报告他们的路由器无法正常运行。一名用户描述道:“路由器现在只是静静地亮着红灯,就算按了重设也完全不理会。”这些用户所用的路由器,是Windstream为用户提供的ActionTec T3200型号。
在短短几天内,大量用户报告了网络完全瘫痪的情况,指责是公司推送的更新导致了他们家中的路由器故障。Windstream提供的宽带服务在美国18个州拥有约160万用户,影响范围包括爱荷华州、阿拉巴马州和乔治亚州等。
安全公司Lumen Technologies旗下的Black Lotus Labs于周四发布了一份报告,为此事件提供了新的线索。根据该报告,整起事件是由神秘的恶意软件所导致,从10月25日开始的72小时内,该软件破坏了超过60万台路由器,将这些路由器连接到一个自治系统( ASN),该自治系统号属于一家未具名的ISP的自治系统编号(ASN)。
自治系统(Autonomous system, AS)是指在网际网络中,一个或多个实体管辖下的所有IP网络和路由器的组合,它们对网际网络执行共同的路由策略。尽管AS支持了这多个自治系统,但对网际网络来说只能看到该AS的路由策略。所以AS必须具有一个公开且正式登记的自治系统编号(ASN)。
研究人员指出,这次攻击与Windstream用户在10月份的报告细节相当一致,包括受影响的路由器型号和停止运行的红灯状态。虽然Windstream拒绝回应,但研究显示这些路由器是被名为Chalubo的恶意软件永久性地覆盖了固件。
Black Lotus Labs表示,这次恶意固件更新是蓄意行为,目的是造成网络中断。这一事件对农村和服务不足的社区影响尤为严重,可能导致居民无法获得紧急服务,农业企业失去远程监控农作物的能力,医疗服务也受到干扰。
在路由器大规模中断后,Black Lotus Labs开始在Censys搜索引擎上查询受影响的路由器型号。一周的快照很快显示,就在报告开始时,一个特定ASN的这些型号路由器下降了49%。这相当于至少179,000台ActionTec路由器和超过480,000台Sagemcom出售的路由器断开连接。
据Black Lotus Labs称,这些路由器–保守估计至少有600000台–是被一个动机同样不明的未知威胁行为者破坏的。该行为者故意使用名为Chalubo的恶意软件,而不是定制开发的工具包来掩盖行踪。Chalubo内置的一项功能允许行为者在受感染设备上执行自订Lua脚本。研究人员认为,该恶意软件下载并运行的程序代码永久性地覆盖了路由器固件。
报告指出:“我们很有信心地认为,恶意固件更新是一种蓄意行为,目的是造成网络中断,虽然我们预计Internet上会有许多路由器品牌和型号受到影响,但这一事件仅限于单一的ASN。”
研究人员指出,这次攻击的规模和专注于特定的ASN,使其与以往的攻击不同。以往的攻击通常针对特定的路由器型号或常见漏洞,而这次则集中在单一供应商的网络中。虽然研究人员尚未确定感染路由器的最初手段,但他们建议用户采取通用的安全措施,包括安装安全更新、使用强密码替换默认密码和定期重启设备。
这次针对Windstream的攻击表明,网络安全威胁日益严峻,特别是针对大型ISP的恶意行为。相关机构和用户需提高警惕,加强防范措施,以应对未来可能的安全挑战。
原创文章,作者:管理员,如若转载,请注明出处:https://nomar.cn/archives/2358.html