Cafe Bệt

Nhịp sống trẻ mỗi ngày

Font ResizerAa
  • Thời Sự
  • Đời Sống
    • Góc Nhìn
  • Nhịp Sống Trẻ
    • Cơ Hội
    • Sự Kiện
    • Giải Trí
    • Cuộc Thi
  • Kiến Thức
    • Tài Chính
  • Kỹ Năng Sống
    • Sống Đẹp
  • Tuyển Dụng
  • Doanh Nghiệp
  • Công Nghệ
  • Thể Thao
Font ResizerAa

Cafe Bệt

Nhịp sống trẻ mỗi ngày

Search
  • Thời Sự
  • Đời Sống
    • Góc Nhìn
  • Nhịp Sống Trẻ
    • Cơ Hội
    • Sự Kiện
    • Giải Trí
    • Cuộc Thi
  • Kiến Thức
    • Tài Chính
  • Kỹ Năng Sống
    • Sống Đẹp
  • Tuyển Dụng
  • Doanh Nghiệp
  • Công Nghệ
  • Thể Thao
Have an existing account? Sign In
Follow US
© 2026 Cafe Bệt. All Rights Reserved.
Cafe Bệt > Blog > Công Nghệ > Chỉ trong 72 giờ, một malware bí ẩn đã phá hủy hơn 600.000 router như thế nào?
Công Nghệ

Chỉ trong 72 giờ, một malware bí ẩn đã phá hủy hơn 600.000 router như thế nào?

Last updated: 06/06/2024 1:52 am
Cafe Bệt
Share
SHARE

Một botnet malware có tên “Pumpkin Eclipse” đã thực hiện một cuộc tấn công bí ẩn vào năm 2023, làm hơn 600,000 router internet văn phòng/hộ gia đình bị hỏng, gây gián đoạn truy cập internet của khách hàng.

Theo các nhà nghiên cứu bảo mật tại Black Lotus Labs của Lumen, sự gián đoạn đã xảy ra trên nhiều bang ở khu vực Trung Tây của nước Mỹ từ ngày 25 đến ngày 27 tháng 10 năm 2023. Điều này đã buộc các chủ sở hữu của các thiết bị bị nhiễm malware phải thay thế router mới.

Mặc dù sự cố trên quy mô rộng, ảnh hưởng của nó tập trung vào một nhà cung cấp dịch vụ internet (ISP) duy nhất với 3 mẫu router mà công ty này sử dụng: ActionTec T3200s, ActionTec T3260s, và Sagemcom F5380.

Chỉ trong 72 giờ, một malware bí ẩn đã phá hủy hơn 600.000 router như thế nào?- Ảnh 1.

Black Lotus Labs cho biết ISP cụ thể này phục vụ các cộng đồng dễ bị tổn thương ở Hoa Kỳ và đã chịu giảm 49% số lượng modem hoạt động do sự cố “Pumpkin Eclipse”. Trong khi Black Lotus không tiết lộ tên của nhà mạng, sự việc này rất giống với sự cố đối với nhà mạng Windstream xảy ra cùng thời gian.

Bắt đầu từ 25 tháng 10 năm 2023, khách hàng của Windstream đã cho biết trên Reddit rằng router của họ không còn hoạt động.

“Tôi đã sử dụng modem T3200 một thời gian, nhưng hôm nay xảy ra điều gì đó tôi chưa từng gặp phải. Đèn internet hiện lên màu đỏ. Điều này có nghĩa gì và làm thế nào để khắc phục?“, một người dùng đã báo cáo trên subreddit của Windstream.

“Internet của tôi bị hỏng khoảng 9 giờ tối hôm qua, tôi đã bỏ qua cho đến khi có thời gian để kiểm tra vào chiều nay. Sau khi liên lạc qua chatbot (và T3200 không phản hồi khi khôi phục cài đặt gốc), rõ ràng vấn đề nằm ở router,” một người dùng khác cho biết.

Chỉ trong 72 giờ, một malware bí ẩn đã phá hủy hơn 600.000 router như thế nào?- Ảnh 2.

Những người dùng bị ảnh hưởng bởi sự cố của Windstream được thông báo rằng họ cần phải thay thế router để khôi phục truy cập internet. Khi được liên hệ về sự cố, Windstream đã nói với BleepingComputer rằng họ không có bình luận gì.

Cuộc tấn công của Pumpkin Eclipse

Bảy tháng sau, một báo cáo mới đây của Black Lotus có thể làm sáng tỏ sự cố này, khi cho biết rằng một botnet đã chịu trách nhiệm về việc phá hủy 600,000 router trên các bang Trung Tây thuộc một ISP duy nhất vào tháng 10 năm 2023.

“Black Lotus Labs của Lumen Technologies đã xác định một sự kiện phá hủy, khi hơn 600,000 router tại văn phòng/hộ gia đình (SOHO) đã bị hỏng, thuộc về một nhà cung cấp dịch vụ internet (ISP). Sự cố diễn ra trong khoảng 72 giờ từ ngày 25 đến 27 tháng 10 năm 2023, khiến các thiết bị bị nhiễm không thể sử dụng và cần phải thay thế bằng phần cứng. Dữ liệu quét công khai xác nhận việc loại bỏ đột ngột và hoàn toàn 49% các modem khỏi hệ thống đánh số tự động của ISP bị ảnh hưởng trong thời gian này.”

Chỉ trong 72 giờ, một malware bí ẩn đã phá hủy hơn 600.000 router như thế nào?- Ảnh 3.

Số lượng router trong hệ thống của nhà mạng này đột ngột sụt giảm và biến mất trong 3 ngày xảy ra cuộc tấn công.

Tuy vậy, các nhà nghiên cứu không thể tìm ra lỗ hổng được sử dụng để truy cập, vì vậy những kẻ tấn công có thể đã sử dụng một lỗ hổng zero-day chưa được biết đến hoặc khai thác các thông tin đăng nhập yếu kết hợp với giao diện quản trị bị lộ.

Giai đoạn đầu tiên của payload là một script bash có tên “get_scrpc,” thực thi để lấy một script thứ hai gọi là “get_strtriiush,” chịu trách nhiệm lấy và thực thi payload chính của mạng botnet, mã độc “Chalubo” (“mips.elf”).

Chỉ trong 72 giờ, một malware bí ẩn đã phá hủy hơn 600.000 router như thế nào?- Ảnh 4.

Cách thức tấn công của mã độc Chalubo

Chalubo được thực thi từ bộ nhớ để tránh bị phát hiện và sử dụng lớp mã hóa ChaCha20 khi giao tiếp với các máy chủ điều khiển và ra lệnh (C2) để bảo vệ kênh liên lạc, trong khi nó xóa tất cả các tệp khỏi đĩa và thay đổi tên quá trình khi đang chạy.

Kẻ tấn công có thể gửi lệnh đến bot thông qua các script Lua, cho phép thu thập dữ liệu, tải xuống các module bổ sung, hoặc đưa các payload độc hại mới trên thiết bị bị nhiễm mã độc.

Khi nhận được lệnh, mã độc này sẽ thực thi với độ trễ 30 phút để tránh né các sandbox, sau đó nó sẽ thu thập thông tin liên quan đến mạng host như địa chỉ MAC, ID thiết bị, loại thiết bị, phiên bản thiết bị và địa chỉ IP cục bộ.

Chalubo có chức năng tấn công DDoS, cho thấy mục tiêu hoạt động của Pumpkin Eclipse. Tuy nhiên, Black Lotus Labs không quan sát thấy bất kỳ cuộc tấn công DDoS nào từ botnet này.

Các nhà phân tích lưu ý rằng Chalubo thiếu cơ chế duy trì trên thiết bị, vì vậy việc khởi động lại router bị nhiễm sẽ làm gián đoạn hoạt động của mã độc.

Chỉ trong 72 giờ, một malware bí ẩn đã phá hủy hơn 600.000 router như thế nào?- Ảnh 5.

Black Lotus Labs cho biết dữ liệu từ xa của họ chỉ ra rằng Chalubo vận hành 45 bảng điều khiển malware, giao tiếp với hơn 650.000 địa chỉ IP riêng biệt từ ngày 3 tháng 10 đến ngày 3 tháng 11, chủ yếu tại Mỹ.

Chỉ có một trong số các bảng điều khiển này được sử dụng cho cuộc tấn công phá hủy và nó tập trung vào một ISP cụ thể tại Mỹ, khiến các nhà nghiên cứu của Black Lotus tin rằng kẻ tấn công đã mua bảng điều khiển Chalubo cho mục đích triển khai payload phá hủy các router của nhà mạng này.

Đáng tiếc, các nhà nghiên cứu không thể tìm thấy payload được sử dụng để phá hủy các router, vì vậy họ không thể xác định cách thức nó được thực hiện hoặc vì mục đích gì.

Black Lotus Labs lưu ý rằng đây là lần đầu tiên, ngoại trừ sự cố “AcidRain”, một botnet chứa mã độc được ra lệnh để phá hủy các thiết bị mà nó lây nhiễm và gây thiệt hại tài chính lớn khi buộc phải thay thế các thiết bị này.


Nguồn tin: https://genk.vn/chi-trong-72-gio-mot-malware-bi-an-da-pha-huy-hon-600000-router-vao-nam-2023-20240605134600349.chn

Share This Article
Email Copy Link Print
Previous Article Đề xuất doanh nghiệp khó khăn được dừng đóng kinh phí công đoàn
Next Article Đột quỵ, sốc nhiệt, say nắng… có thể xảy ra khi nắng nóng kéo dài

Nhịp sống trẻ mỗi ngày!

Cùng cập nhật những tin tức nóng hổi, đa dạng về kinh tế, xã hội, văn hóa và giải trí. Đón nhận nhịp sống trẻ, năng động, và sáng tạo mỗi ngày.
FacebookLike
XFollow
PinterestPin
InstagramFollow
YoutubeSubscribe
TiktokFollow
- Advertisement -
Ad image

Đang được quan tâm

Phong cách đời thường của Công chúa Campuchia

Công chúa Campuchia 14 tuổi ưu tiên mặc quần áo bình dân, hướng đến sự…

By Cafe Bệt

Lợi suất trái phiếu chính phủ Nhật Bản tăng vọt, nhà đầu tư Nhật có thể ồ ạt rút vốn về nước

Lợi suất trái phiếu chính phủ Nhật Bản (JGB) tăng lên mức cao nhất trong…

By Cafe Bệt

Mỹ áp thuế hơn 100% lên một mặt hàng của Việt Nam, lãnh đạo Bộ Công Thương chỉ ra vấn đề thật sự

Thị trường Mỹ tiếp tục mở ra nhiều cơ hội nhưng cũng đi kèm các…

By Cafe Bệt

Tin liên quan

Công Nghệ

Hóa ra AI có thể bị “mục não” như con người khi xem quá nhiều TikTok

By Cafe Bệt
Công Nghệ

Sony sắp ra mắt cảm biến 200MP cạnh tranh với Samsung, đã có 2 “khách sộp” Vivo và OPPO

By Cafe Bệt
Công Nghệ

Microsoft phát cảnh báo đến người dùng vẫn chưa chịu rời Windows 10

By Cafe Bệt
Công Nghệ

Video AI gây lo ngại

By Cafe Bệt
Go to mobile version
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?