近日，有消息稱美國有約 60 多萬臺小型辦公室/家庭辦公室（SOHO）路由器在不明身份的網絡行為者發動的破壞性網絡攻擊后被癱瘓并離線，從而中斷了用戶對互聯網的訪問。

據調查，此事件影響了美國的互聯網服務提供商 ISP，Lumen Technologies Black Lotus 實驗室團隊將其命名為 “Pumpkin Eclipse”。對 ISP 發布的 ActionTec T3200、ActionTec T3260 和 Sagemcom 三種路由器型號產生了較大影響。

該公司在一份技術報告中提到：那些受到感染的設備永久無法使用，需要進行硬件更換。

這次停電意義重大，尤其是因為它導致受影響 ISP 的自治系統號碼（ASN）中 49% 的調制解調器在這段時間內突然被移除。

雖然 ISP 的名稱未被披露，但有證據表明是 Windstream，該公司也在同一時間遭遇了停電，導致用戶報告受影響的調制解調器一直顯示紅燈。

近幾日，Lumen 的分析揭示了一種名為 Chalubo 的商品遠程訪問木馬（RAT）。最早由 Sophos 記錄于 2018 年 10 月，這種隱秘惡意軟件是這次破壞活動的罪魁禍首，對手選擇使用它可能是為了使歸因工作復雜化，而不是使用自定義工具包。

此外，Chalubo還具有專為所有主要SOHO/IoT內核設計的有效載荷，預置執行DDoS攻擊的功能，并且可以執行發送給機器人的任何Lua腳本。該公司表示，惡意行為者很可能利用 Lua 功能檢索破壞性有效載荷。

目前還不清楚黑客入侵路由器所使用的初始訪問方法是什么，不過據推測，這可能涉及濫用弱憑據或利用暴露的管理界面。

在成功入侵后，黑客會利用感染鏈繼續投放 shell 腳本，為加載器鋪路。加載器的最終目的是從外部服務器檢索并啟動 Chalubo。該木馬獲取的破壞性 Lua 腳本模塊尚不清楚。

與其他針對特定路由器型號或常見漏洞的攻擊不同，此次攻擊活動的一個顯著特點是針對單一的 ASN，這提高了它被蓄意攻擊的可能性，盡管其背后的動機尚未確定。

Lumen 表示：由于受影響的設備數量之多，這次事件是史無前例的。在過往的記憶中，還沒有哪次攻擊是需要更換 60 多萬臺設備。這種類型的攻擊以前只發生過一次，AcidRain 被用作主動軍事入侵的前兆。