去年10 月的一天，一家名為Windstream 的網路服務供應商的用戶開始在留言板上大量留言，報告他們的路由器突然停止工作，並且對重啟和所有其他恢復路由器的嘗試都毫無反應。

一位用戶在留言板上寫道：「路由器現在只是靜靜地亮著紅燈，」他指的是Windstream 為他們和隔壁鄰居提供的ActionTec T3200 型路由器。 “它們甚至對重置都沒有反應”。

從10 月25 日開始的幾天裡，許多Windstream 用戶都在留言中報告網路服務供應商造成了大規模癱瘓。他們說，這是公司推送的更新毒害了設備的結果。 Windstream的Kinetic寬頻服務在18個州擁有約160萬用戶，其中包括愛荷華州、阿拉巴馬州、阿肯色州、喬治亞州和肯塔基州。對許多用戶來說，Kinetic 是他們與外界聯繫的重要紐帶。

另一位用戶在同一論壇上寫道：「我們有3 個孩子，都在家工作。」這讓我們損失了1500 多美元的業務，沒有電視、WiFi，還要花幾個小時打電話等等。一家公司可以這樣對待客戶而不聞不問，太可悲了”。

在最終確定路由器永久無法使用後，Windstream 向受影響的客戶發送了新的路由器。黑蓮實驗室將此事件命名為”南瓜日食”。

蓄意行為

安全公司Lumen Technologies 旗下的Black Lotus Labs 週四發布的一份報告可能會為此事件提供新的線索，Windstream 公司尚未對此作出解釋。 Black Lotus 實驗室的研究人員稱，從10 月25 日開始的72 小時內，惡意軟體破壞了60 多萬台路由器，這些路由器連接到一個自治系統號碼（或ASN），該自治系統號碼屬於一家未具名的ISP。

雖然研究人員沒有指明該網路服務供應商，但他們報告的細節與Windstream 用戶在10 月的資訊中詳細描述的細節幾乎完全吻合。具體而言，大規模”舔舐”開始的日期、受影響的路由器型號、ISP 的描述以及停止運行的ActionTec 路由器顯示靜態紅燈的情況。 Windstream 代表拒絕回答透過電子郵件傳送的問題。

據Black Lotus Labs 稱，這些路由器–保守估計至少有600,000 台–是被一個動機同樣不明的未知威脅行為者破壞的。該行為者故意使用名為Chalubo 的商品惡意軟體，而不是客製開發的工具包來掩蓋行踪。 Chalubo 內建的一項功能可讓行為者在受感染裝置上執行自訂Lua腳本。研究人員認為，該惡意軟體下載並運行的程式碼永久覆蓋了路由器韌體。

週四的報告指出：”我們很有信心地認為，惡意韌體更新是一種蓄意行為，目的是造成網路中斷，雖然我們預計網路上會有許多路由器品牌和型號受到影響，但這一事件僅限於單一的ASN。

研究人員寫道:

這種性質的破壞性攻擊非常令人擔憂，尤其是在這種情況下。該互聯網服務提供商的服務區域有相當一部分覆蓋了農村或服務不足的社區；在這些地方，居民可能無法獲得緊急服務，農業企業可能在收穫季節丟失了遠程監控農作物的關鍵信息，醫療服務提供商也被切斷了遠距醫療或病人記錄。不用說，在孤立或脆弱的社區，從任何供應鏈中斷中恢復過來都需要更長的時間。

得知路由器大規模中斷的訊息後，Black Lotus Labs 開始在Censys 搜尋引擎上查詢受影響的路由器型號。一週的快照很快顯示，就在報告開始時，特定ASN 的這些型號路由器下降了49%。這相當於至少179,000 台ActionTec 路由器和超過480,000 台Sagemcom 出售的路由器斷開連線。

路由器與任何ISP 的不斷連接和斷開使追蹤過程變得複雜，因為不可能知道路由器的消失是正常流失的結果還是更複雜的原因。黑蓮實驗室稱，據保守估計，在其追蹤到的斷開連接事件中，至少有60 萬起是Chaluba 感染設備並永久清除其韌體的結果。

在確定ASN 後，Black Lotus Labs 發現了在路由器上安裝Chaluba 的複雜多路徑感染機制。下圖提供了邏輯概述。

以研究人員目睹的方式大規模清除路由器的惡意軟體並沒有太多已知先例。最接近的可能是2022 年發現的AcidRain，該惡意軟體曾導致衛星網路供應商Viasat 的10000 台數據機癱瘓。烏克蘭和歐洲其他地區遭受的這次網路中斷與俄羅斯入侵這個較小鄰國的時間相吻合。

Black Lotus 實驗室的一位代表在接受採訪時說，研究人員不能排除影響網路服務供應商的路由器擦除事件背後是一個民族國家。但到目前為止，研究人員還沒有發現這些攻擊與他們追蹤的任何已知民族國家組織有任何重疊。

研究人員尚未確定感染路由器的最初手段。雖然研究人員說他們不知道受影響路由器中存在任何已知漏洞，但威脅者有可能利用了漏洞。其他可能的情況是，威脅者濫用了弱憑證或存取了暴露的管理面板。

與眾不同的攻擊

雖然研究人員以前分析過針對家庭和小型辦公室路由器的攻擊，但他們說，有兩件事讓攻擊與眾不同。他們解釋說：

首先，這次攻擊導致了受影響設備的硬體更換，這很可能表明攻擊者破壞了特定型號的韌體。由於受影響的設備數量之多，這次事件是史無前例的–在我們的印像中，還沒有哪次攻擊需要更換超過60 萬台設備。此外，這種類型的攻擊以前只發生過一次，AcidRain 被用作主動軍事入侵的前兆。

他們繼續說：

第二個獨特之處是，這次活動僅限於特定的ASN。我們以前看到的大多數活動都是針對特定的路由器型號或常見漏洞，並在多個提供者的網路中產生影響。在這種情況下，我們觀察到Sagemcom 和ActionTec 設備同時受到影響，而且都是在同一供應商的網路中。這使我們評估這不是單一製造商韌體更新錯誤的結果，因為韌體更新通常僅限於特定公司的一種或多種設備型號。我們對Censys 資料的分析表明，受影響的只有這兩種型號。綜合上述因素，我們得出結論：儘管我們無法恢復破壞性模組，但該事件很可能是未歸屬的惡意網路行為者蓄意採取的行動。

由於不清楚這些路由器是如何被感染的，研究人員只能提供一些常見的通用建議，以防止此類設備受到惡意軟體的感染。這包括安裝安全性更新、用強密碼取代預設密碼和定期重新啟動。網路服務供應商和其他管理路由器的組織應遵循額外的建議，確保管理設備的管理介面的安全。

週四的報告包括IP 位址、網域名稱和其他指標，人們可以用它們來確定自己的裝置是否已成為攻擊目標或受到攻擊。