Zespół badaczy z Black Lotus Labs zidentyfikował destrukcyjne zdarzenie, polegające na wyłączeniu ponad 600 000 routerów małych biur/sieci domowych należących do jednego dostawcy usług internetowych. Incydent miał miejsce w ciągu 72 godzin w dniach 25–27 października i spowodował trwałą niesprawność zainfekowanych urządzeń – wymagana była wymiana sprzętu. Dane ze skanowania publicznego potwierdziły nagłe usunięcie w tym okresie 49% wszystkich modemów z numerem ASN dostawcy usług internetowych, którego dotyczył problem.
Jak to się stało?
Pod koniec października 2023 r. organizacja Black Lotus Labs należąca do Lumen Technologies dowiedziała się o dużej i rosnącej liczbie zgłoszeń na publicznych forach internetowych i platformach wykrywających awarie. Po wielokrotnych skargach dotyczących konkretnych urządzeń ActionTec rozpoczęto dochodzenie, ponieważ ogromna liczba właścicieli urządzeń twierdziła, iż od 25 października 2023 r. nie mogli uzyskać dostępu do Internetu. Rosnąca liczba użytkowników wskazała, iż awaria dotyczyła dwóch różnych modeli: ActionTec T3200s i ActionTec T3260s. Użytkownicy opisywali rozmowy z centrami obsługi klienta, podczas których powiedziano im, iż konieczna będzie wymiana całego urządzenia. Z raportów tych wynika, iż przyczyną problemu było prawdopodobnie oprogramowanie sprzętowe, ponieważ większość innych błędów można rozwiązać poprzez prostą procedurę przywrócenia ustawień fabrycznych.
Aby niezależnie potwierdzić te dane, analizę zaczęto od nazw urządzeń, których dotyczył problem. 27 października Lumen odpytał repozytorium danych skanowania Censys o „ActionTec”, aby zidentyfikować najpopularniejszych dostawców usług na podstawie ASN i liczby urządzeń. Podczas tworzenia listy według ASN przeszukano liczbę odsłoniętych urządzeń powiązanych z każdym z numerów ASN w okresie tygodnia. Analiza wykazała, iż w jednym konkretnym ASN liczba urządzeń mających dostęp do Internetu spadła o około 49%. Obejmowało to spadek około 480 tys. urządzeń powiązanych z Sagemcom, prawdopodobnie Sagemcom F5380, ponieważ zarówno ten model, jak i modemy ActionTec były modemami wydanymi przez dostawcę usług internetowych.
Spadek liczby urządzeń ActionTec i Sagemcom widocznych w Internecie; źródło: blog.lumen.comPo zweryfikowaniu potencjalnego wpływu na konkretny ASN sprawdzono globalną telemetrię Black Lotus Labs pod kątem połączeń z tego ASN, co doprowadziło do pierwszego serwera z ładunkiem złośliwym – który miał otwarty katalog. Odkrycie wskazało ścieżkę wieloetapowego mechanizmu infekcji, powodującego instalację Chalubo RAT – botnetu o zasięgu globalnym, którego celem są bramy SOHO (ang. small offices/home offices) i urządzenia IoT.
Logiczny schemat infekcji; źródło: blog.lumen.comSzczegóły techniczne
Aktualnie nie wiadomo, jakiego exploita użyto do uzyskania pierwszego dostępu. Podczas wyszukiwania exploitów mających wpływ na te modele w OpenCVE dla ActionTec nie znaleziono żadnego dla dwóch omawianych modeli, co sugeruje, iż ugrupowanie zagrażające prawdopodobnie albo nadużyło słabych danych uwierzytelniających, albo wykorzystało odsłonięty interfejs administracyjny.
Po exploitacji urządzenia łączyły się z serwerem C2 pierwszego stopnia i pobierały skrypt bash „get_scrpc”, co stanowiło pierwszy krok w procesie infekcji. Po pobraniu skrypt sprawdzał obecność szkodliwego pliku binarnego w następującej ścieżce pliku: „/usr/bin/usb2rci”. jeżeli plik binarny nie został znaleziony, skrypt otwierał reguły iptables, aby zezwolić zarówno na połączenia przychodzące, jak i wychodzące, pobierał skrypt „get_scrpc” i wykonywał:
Źródło: blog.lumen.comNastępnie skrypt decydował, czy skrót md5 pliku usb2rci pasował do znanego ciągu. jeżeli nie był dopasowany, pobierał ładunek z jednego z serwerów ładunku pierwszego etapu. Jednym z takich adresów URL był hxxp://104.233.210[.]119:51248/get_fwuueicj. Ostatni krok polegał na pobraniu drugiego skryptu bash, o nazwie „get_strtriiusj”. Skrypt ten sprawdzał obecność pliku o nazwie „/tmp/.adiisu”. jeżeli plik był obecny, następowało zamknięcie. jeżeli nie, tworzony był plik, następnie kopiowany był główny plik ładunku do katalogu /tmp/ i zmieniana jego nazwa na „/tmp/crrs”. Mając dostęp do katalogu tmp, mógł zmodyfikować uprawnienia, aby uczynić go wykonywalnym, a następnie wykonać plik.
Po uruchomieniu szkodliwe oprogramowanie próbowało pobrać pewne informacje dotyczące hosta, takie jak adres MAC, identyfikator urządzenia, typ oraz wersja urządzenia i lokalny adres IP. Chalubo najpierw próbował wysłać te informacje do domeny i adresu URL utworzonej przez ugrupowanie zagrażające pod adresem coreconfig[.]net8080/E2XRIEGSOAPU3Z5Q8. jeżeli nie udawało się rozpoznać domeny, zostawał przywrócony zakodowany na stałe adres IP 185.189.240[.]13, czyli tam, gdzie bieżąca domena została rozwiązana 30 października 2023 r.
Chalubo Bot – główny ładunek
Chociaż raport koncentruje się na wariancie MIPS złośliwego oprogramowania, odkryto ładunki zaprojektowane dla wszystkich głównych wariantów jądra SOHO/IoT, takich jak ARM, MIPS, PowerPC itp.
Proces mechanizmu infekcji przebiegł wyjątkowo dobrze, co wyjaśniałoby, dlaczego pojawił się tylko jeden raport dotyczący tej rodziny szkodliwych programów. Rodzina tego botnetu obejmowała:
- usuwanie zarówno programu ładującego, jak i agenta Chalubo z systemu plików po ich wykonaniu,
- zmianę nazwy procesu po uruchomieniu w systemie, którego dotyczy problem, aby utrudnić wykrycie,
- używanie komunikacji szyfrowanej ChaCha do pobierania głównego ładunku, a następnie osadzanie drugiego zestawu kluczy szyfrujących w celu odszyfrowania kolejnych skryptów Lua,
- wstawienie 30-minutowego opóźnienia pomiędzy początkowym sygnałem ostrzegawczym w celu uniknięcia wykrycia w sandboxach,
- możliwość wykonywania dowolnych skryptów Lua na komputerze hosta – prawdopodobny mechanizm umożliwiający hakerom wydawanie poleceń uruchamianych na modemie i pobieranie kolejnych modułów w celu uzyskania dodatkowej funkcjonalności.
Podsumowanie
Black Lotus Labs zgłaszał na przestrzeni ostatnich kilku lat działalność SOHO ze strony haktywistów, cyberprzestępców i podmiotów ATP. Jednakże to śledztwo wyróżniało się z dwóch powodów. Po pierwsze, kampania ta zakończyła się sprzętową wymianą dotkniętych urządzeń, co wskazuje, iż osoba atakująca prawdopodobnie uszkodziła oprogramowanie sprzętowe określonych modeli. Zdarzenie to było bezprecedensowe ze względu na liczbę dotkniętych jednostek – żaden atak sieciowy nie wymagał wymiany ponad 600 000 urządzeń. Ponadto tego typu atak miał miejsce tylko raz wcześniej, a AcidRain został użyty jako prekursor aktywnej inwazji wojskowej.
W tej chwili nie wiadomo, czy jest to dzieło sponsorowane przez jakieś państwo. W rzeczywistości nie zaobserwowano żadnego podobieństwa ze znanymi klastrami niszczycielskiej aktywności.
