תעלומה: מתקפה מסתורית השביתה 600 אלף נתבים בארה"ב

יותר מ-600 אלף נתבים המיועדים לעסקים קטנים (SOHO) הושבתו ועברו למצב לא מקוון בעקבות מתקפת סייבר הרסנית, שבוצעה על ידי שחקני איום בלתי מזוהים, מה שהביא לשיבושים בגישה של משתמשים לאינטרנט. החוקרים אזכרו את רוסיה כחשודה פוטנציאלית, בלא לציין את שמה במפורש.

האירוע המסתורי, שהתרחש בין ה-25 ל-27 באוקטובר 2023, השפיע רק על ספק שירותי אינטרנט (ISP) אחד בארה"ב.

חוקרי Black Lotus Labs ב-לומן (Lumen Technologies) כינו אותו "ליקוי דלעת" (Pumpkin Eclipse). המתקפה השפיעה במיוחד על שלושה דגמי נתבים, שהונפקו על ידי ספק שירותי האינטרנט: ActionTec T3200, ActionTec T3260 ו-Sagemcom.

"האירוע התרחש במשך 72 שעות בין התאריכים 25-27 באוקטובר. הוא גרם למכשירים הנגועים להיות מושבתים לצמיתות, והצריך החלפה של חומרה", כתבו החוקרים בדו"ח.

ההשבתה הפתאומית הייתה משמעותית והובילה להסרה פתאומית של 49% מכל המודמים של ספקית האינטרנט. זהות הספקית לא נחשפה, אולם מומחי אבטחה העלו השערה שלפיה מדובר ב-Windstream, שסבלה מהשבתה בערך באותו זמן: המשתמשים דיווחו על "אור אדום קבוע" שהציגו המודמים שנפגעו.

כעת, חודשים רבים לאחר מכן, החוקרים פרסמו את ממצאי הניתוח שלהם, שלפיהם המתקפה כללה שימוש ב"טרויאני בעל גישה מרחוק" (RAT) בשם Chalubo – נוזקה חמקנית שתועדה בראשונה על ידי חוקרי סופוס (Sophos) באוקטובר 2018 – כזו שאחראית למתקפה הזדונית. הנחת העבודה של החוקרים היא, שמטרת הפורצים הייתה להקשות על הזיהוי שלהם – ולכן הם לא עשו שימוש בערכת כלי פריצה מותאמת אישית, אלא העדיפו להשתמש בנוזקה קיימת ועימה לבצע מתקפות מניעת שירות מבוזרות, DDoS.

למרות הזמן שעבר, החוקרים לא הצליחו לאתר את שיטת הגישה הראשונית – המדויקת – ששימשה לפריצת הנתבים. ההשערה הרווחת היא, שהמתקפה הייתה כרוכה בניצול לרעה של אישורים חלשים, או ניצול ממשק ניהולי חשוף.

"אירוע הסייבר היה חסר תקדים", סיכמו החוקרים, "בגלל מספר היחידות שהושפעו. אין כל תיעוד לכך שבעבר נדרשה החלפה של יותר מ-600 אלף רכיבים – בשל מתקפה. בנוסף, תקיפה מסוג זה התרחשה רק פעם אחת בעבר, והיא בישרה על פלישה צבאית". המשפט מרמז על פלישת רוסיה לאוקראינה ומצביע על זהות התוקפים כרוסים או כשלוחי הממשל במוסקבה.