Tấn Công "Pumpkin Eclipse": Cuộc Tấn Công Bí Ẩn Phá Hủy Hơn 600.000 Router
Vào cuối tháng 10 năm 2023, một malware có tên "Pumpkin Eclipse" đã gây ra sự cố nghiêm trọng khi phá hủy hơn 600.000 router internet chỉ trong 72 giờ. Cuộc tấn công này chủ yếu ảnh hưởng đến các hộ gia đình và văn phòng nhỏ ở khu vực Trung Tây của Mỹ. Các router bị tấn công đều thuộc về một nhà cung cấp dịch vụ internet (ISP) duy nhất và sử dụng ba mẫu router cụ thể: ActionTec T3200s, ActionTec T3260s và Sagemcom F5380.
Quá Trình Tấn Công
Theo báo cáo từ các nhà nghiên cứu bảo mật tại Black Lotus Labs của Lumen Technologies, cuộc tấn công diễn ra từ ngày 25 đến ngày 27 tháng 10 năm 2023. Người dùng của Windstream, nhà mạng bị nghi ngờ bị tấn công, đã phản ánh trên các diễn đàn như Reddit về việc router của họ đột ngột ngừng hoạt động, đèn internet
chuyển sang màu đỏ và không thể khôi phục cài đặt gốc.
(Số lượng router trong hệ thống của nhà mạng này đột ngột sụt giảm và biến mất trong 3 ngày xảy ra cuộc tấn công)
Mã Độc Chalubo
Phần mềm độc hại được sử dụng trong cuộc tấn công là Chalubo, một loại botnet chuyên nghiệp. Chalubo hoạt động bằng cách tải và thực thi các payload từ xa, xóa tệp khỏi hệ thống và sử dụng mã hóa ChaCha20 để bảo vệ các kênh liên lạc với máy chủ điều khiển. Các lệnh được gửi đến bot thông qua các script Lua, cho phép thu thập dữ liệu, tải xuống các module bổ sung hoặc triển khai các payload độc hại mới.
( Ảnh minh họa: Cách thức tấn công mã độc của Chalubo )
Hậu Quả
Vụ tấn công đã gây ra sự gián đoạn lớn cho Windstream, buộc họ phải thay thế hàng loạt router cho khách hàng. Trong thời gian 72 giờ xảy ra sự cố, số lượng modem hoạt động của Windstream giảm 49%, cho thấy mức độ nghiêm trọng của cuộc tấn công.
Điều Tra và Phát Hiện
Dù cuộc điều tra vẫn đang tiếp tục, các nhà nghiên cứu không thể xác định chính xác lỗ hổng bị khai thác, cho thấy khả năng sử dụng một lỗ hổng zero-day hoặc thông tin đăng nhập yếu. Điều đáng chú ý là Chalubo không có cơ chế duy trì sau khi khởi động lại, nghĩa là việc khởi động lại router sẽ gián đoạn hoạt động của malware này.
Cuộc tấn công "Pumpkin Eclipse" là một trong những sự cố an ninh mạng nghiêm trọng nhất trong năm 2023, nhấn mạnh sự cần thiết của việc bảo vệ hệ thống mạng trước các mối đe dọa ngày càng tinh vi. Đây cũng là lần đầu tiên một botnet được chỉ đạo để phá hủy thiết bị mà nó lây nhiễm, gây thiệt hại tài chính lớn khi buộc phải thay thế hàng loạt thiết bị.
.png)
.png)
.png)
![[SỰ KIỆN HOT] Săn Quà Công Nghệ Cực ...](https://chinhnhan.vn/uploads/news/07_2025/z6760374864479_f2d7c4479d65da0eb9b25caf2423ceff.jpg)
.png){kind=logo}
