米国の特定のISP管理下にあるルータ60万台以上が破壊される

画像提供：マイナビニュース

Lumen Technologiesは5月30日(米国時間)、「The Pumpkin Eclipse - Lumen」において、特定のインターネットサービスプロバイダー(ISP: Internet Service Provider)を標的としたサイバー攻撃により管理下にある60万台を超えるルータが破壊されたと報じた。ISPの詳細は明らかにしていないが、ISPの自律システム番号(ASN: Autonomous System number)による推定で全ルーターの約49%が破壊されたと説明している。

○破壊されたルータの概要

Lumen Technologiesによると標的になったルータは、次に示す小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)向けルータとされる。

ActionTec T 3200
ActionTec T 3260
Sagemcom F5380

攻撃は2023年10月25日から27日(米国時間)まで実施されたとみられ、10月25日から障害報告が急増したという。Lumen Technologiesは突然の障害報告増加とその内容からファームウェアの障害を疑い、調査を実施している。調査ではルータの機種特定および影響範囲を自律システム番号から特定する作業が行われた。

その結果、上記3機種を特定し、影響が単一のISPにとどまることがわかったという。また、自律システム番号の比較で約49%のデバイス減少が確認できたとしている。

○サイバー攻撃の詳細

Lumen Technologiesは同社の「Black Lotus Labs」が保有するグローバルテレメトリーを使用して追加の調査を実施し、攻撃者のコマンド＆コントロール(C2: Command and Control)サーバを特定している。そして、遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「Chalubo RAT」を使用したサイバー攻撃による破壊だったことを突き止めている。

これまでのところ、ルータへの初期アクセス方法はわかっていない。現在使用可能な既知の脆弱性は確認できておらず、脆弱な認証情報の使用または公開インタフェースに未知の脆弱性が存在したものと予想されている。

攻撃者は何らかの方法でデバイスを侵害すると最初にデバイス情報を窃取する。次にC2サーバへの接続を確立し、分析妨害などを実行してからマルウェア「Chalubo RAT」を展開する。Chalubo RATは自身や関連ファイルをファイルシステムから削除し、追加のLuaスクリプトの実行を待機する。