Black Lotus Labs hat einen massiven Cyberangriff aufgedeckt, bei dem über 600.000 Small Office/Home Office (SOHO) Router eines einzigen Internetdienstanbieters (ISP) in einem Zeitraum von 72 Stunden zwischen dem 25. und 27. Oktober offline genommen wurden. Diese Geräte wurden durch den Angriff dauerhaft unbrauchbar und erforderten einen Hardwareaustausch. Öffentliche Scan-Daten bestätigten den plötzlichen Verlust von 49 % aller Modems im autonomen System (ASN) des betroffenen ISPs während dieses Zeitraums.
Die Analyse von Black Lotus Labs identifizierte „Chalubo“, einen Remote Access Trojaner (RAT), als Hauptursache für das Ereignis. Chalubo, erstmals 2018 entdeckt, tarnt seine Aktivitäten geschickt, indem es alle Dateien vom Datenträger entfernt und ausschließlich im Speicher läuft, sich als bereits vorhandener Prozess ausgibt und alle Kommunikationen mit dem Command-and-Control (C2) Server verschlüsselt.
Im Oktober 2023 bemerkten die Forscher eine wachsende Anzahl von Beschwerden in öffentlichen Internetforen und Ausfall-Detektoren. Diese Beschwerden konzentrierten sich auf zwei spezifische Routermodelle von ActionTec, die ab dem 25. Oktober nicht mehr funktionierten und eine statische rote Leuchte zeigten. Eine Untersuchung führte zur Entdeckung eines mehrstufigen Infektionsmechanismus, der den Chalubo RAT installierte.
Die genaue Methode, mit der der anfängliche Zugriff erlangt wurde, ist unbekannt. Vermutet wird die Ausnutzung schwacher default Zugangsdaten oder einer exponierten Administrationsschnittstelle, da ActionTec Router eine Reihe von Schwachstellen in die Richtung aufwiesen. Sobald die Geräte kompromittiert waren, luden sie bösartige Skripte herunter, die weitere Schadsoftware installierten und alle Spuren von sich selbst löschten, um einer Entdeckung zu entgehen.
Chalubo nutzte ChaCha20-Verschlüsselung für die Kommunikation mit den C2-Servern und konnte beliebige Lua-Skripte ausführen, um schädliche Befehle auf den betroffenen Geräten auszuführen. Während der Untersuchung fanden sich Hinweise darauf, dass die Angreifer die Funktionen zur Durchführung von DDoS-Angriffen nicht nutzten, obwohl diese in der Malware vorhanden waren.
Die Telemetriedaten von Lumen zeigten, dass Chalubo von September bis November 2023 weltweit aktiv war. Während dieser Zeit kommunizierten etwa 650.000 einzigartige IP-Adressen mit mindestens einem C2-Server. Diese Verteilung legt nahe, dass die Akteure hinter diesem Angriff möglicherweise den Kauf eines Malware-Panels zur Verschleierung der Attribution nutzten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: