Chalubo マルウェア:600,000 台以上の SOHO ルーターを破壊していた – Lumen

Over 600,000 SOHO Routers Were Destroyed By Chalubo Malware In 72 Hours

2024/05/31 SecurityAffairs — Chalubo マルウェアが、2023年10月25日〜10月27日の間にわたって、同じ ISP に属する 600,000 台以上の SOHO (small office/home office) ルーターを破壊していたことが、Lumen の Black Lotus Labs の研究により判明した。Black Lotus Labs は、影響を受けた ISP の名前を挙げていない。しかし Bleeping Computer の推測は、同時期に発生した Windstream の障害に、この攻撃が関連しているというものだ。Chalubo (ChaCha-Lua-bot) は Linux マルウェアであり、IoT デバイスに DDoS 攻撃を仕掛けるためのボットネットとして使用されていた状況を、2018年8月下旬に Sophos Labs が検知していた。


Chalubo は、Xor.DDoS や Mirai ボットのコードを使用しており、ChaCha ストリーム暗号を使用して、メインコン・ポーネントと Lua スクリプトを暗号化するなどの、斬新な回避テクニックも実装している。

このボットを配布する攻撃者は、SSH サーバ上で root:admin クレデンシャルを用いるという、ブルートフォース攻撃に依存していた。Lumen が観測した2023件の攻撃では、ActionTec T3200s/ActionTec T3260s/Sagemcom F5380 などのルーターが、このボットの標的とされていた。

公開されているスキャン・データでは、攻撃中に影響を受けた ISP の ASN (Autonomous System Number) から、全モデムの 49%がオフライン化されたことが確認されている。この感染により、デバイスは操作不能となり、ハードウェア・ベースの交換が必要となったという。

この脅威アクターたちは、検知を回避にするために、カスタム・ツールではなく汎用マルウェアを使用したと、Lumen の研究者は推測している。また、現時点においては、既知の APT クラスターとの関連は確認されていない。研究者たちは、悪意のファームウェア・アップデートは、システムの停止を引き起こそうとする意図的な行為であったと、高い確信度を持って考えているようだ。一連の攻撃は、単一の ASN (Autonomous System Numbers) にのみに影響を与えていた。

この攻撃は、おおよそ 179,000 台の ActionTec ルーターと、480,000台の Sagemcom のルーターに損害を与えた。感染した被害者の大半は、米国/ブラジル/中国であったという。

Lumen はレポートで、「我々の分析によると、ある ASN では、インターネットに接続されているデバイスの数が約 49%減少していた。この ASN に存在した、10月27日と 10月28日のバナー・ハッシュを比較したところ、ActionTec のバナーを持つ IP アドレスが 179,000 ほど減少していることが確認された。そこには、Sagemcom に関連する 480,000 のデバイスのドロップが含まれており、このモデルと ActionTec モデムの両方が ISP により発行されたモデムであったことから、Sagemcom F5380 だと思われる」と詳述している。

Chalubo botnet


イニシャル・アクセスにおいて、脆弱性は悪用されていないようだ。この脅威アクターの戦術は、脆弱な認証情報の悪用もしくは、公開された管理インターフェイスの悪用の可能性が高いと、研究者たちは推測している。

第1段階のペイロードは、bashスクリプト “get_scrpc“ であり、第2のスクリプトである ”get_strtriiush“ をフェッチする。 この ”get_strtriiush” は、第1のボット・ペイロードである  Chalubo (mips.elf) を取得し実行する。Chalubo は、標的のデバイスのメモリ内で実行され、ディスクから全ファイルを消去する。また、検出を回避するために、実行後にプロセス名を変更していた。

さらに研究者たちは、このマルウェアの最新バージョンは、感染したデバイス上で永続性を維持しないことを発見した。

2023年9月〜11月にかけて、インターネット上に約 45のマルウェア・パネルが公開されていたことが判明した。このうち、28 のパネルが 10個以下のボットと交信していたのに対して、上位 10個のパネルは、30日間で 13,500~117,000 個のユニーク IP アドレスと交信していた。これらの IP アドレスに関連するテレメトリを分析した結果として、11月3日までの 30日間で、650,000 以上のユニーク IP アドレスが、少なくとも1つのコントローラと接触していたことが判明した。

一連のボットの 95%は、1つのコントロール・パネルとだけ通信してた。つまり、それらを操作するエンティティが、明確なサイロを持っていたことが示唆される。

Black Lotus Labs は、「600,000 台以上のデバイスの交換を余儀なくさせた攻撃は、過去に例がない。この種の攻撃は、過去に一度だけ発生しているが、その時には、積極的な軍事侵攻の前兆として AcidRain が使用されていた。現時点において、我々は、それが国家や APT の仕業だったとは評価していない。実際に、Volt Typhoon や SeaShell Blizzard といった脅威クラスターのような、破壊的なインシデントを起こしてきたクラスターとの類似点は観察されていない。第2のユニークな点は、このキャンペーンが特定の ASN に限定されていたことである」と締め括っている。

特定の ISP を標的にして、ボットネットで集中的に攻撃するという、とても恐ろしいインシデントです。このブログで、主役として ISP が登場したのは、2021/09/05 の「ニュージーランドの大手 ISP が DDoS 攻撃で停止した」と、2022/05/26 の「Google と ロシア制裁:ISP 2社のキャッシュ・サーバーがシャットダウン」くらいだと思います。よろしければ、Botnet で検索も、ご利用ください。