60万台路由器集体变砖！史上最大规模电信网络攻击

本周四，Lumen Technologies的黑莲花实验室（Black Lotus Labs）发布报告披露了去年底发生在美国的一次超大规模电信网络破坏事件，黑客在72小时内瘫痪了某互联网接入服务商的超过60万台家庭/家庭办公室（SOHO）路由器，这些“变砖”的路由器无法修复，导致大量用户被迫进行硬件更换。

2023年10月的一天，美国互联网服务提供商Windstream的大量用户突然发现路由器无法工作。这个问题迅速在网络论坛上引发讨论，许多用户报告他们的ActionTec T3200路由器突然死机，重启和重置都无济于事。

Windstream的Kinetic宽带服务在美国18个州拥有大约160万订户，对许多家庭和企业来说至关重要。一位用户在论坛上写道：“我们有三个孩子，都在家工作，这次事件让我们损失了1500多美元的业务，没有电视、WiFi，花费了数小时在电话上。”

公共扫描数据显示，在事件期间，Windstream的自主系统号（ASN）下接近半数（49%）的路由器被攻击下线。这次攻击对农村和偏远社区影响尤其严重，导致紧急服务中断、农业监控信息丢失和远程医疗服务中断等。

经过调查，Windstream发现这些路由器已经无法修复，并向受影响的用户发送了新路由器。黑莲花实验室（Black Lotus Labs）称这次事件为“南瓜月蚀”。根据黑莲花实验室的报告，这次事件导致超过60万台路由器在72小时内“变砖”，堪称史上最大规模的电信网络破坏事件，远超俄乌战争期间针对欧洲卫星网络的AcidRain攻击事件（破坏了1万台卫星接收调制解调器）。

黑莲花实验室的研究人员认为，这次事件中黑客使用了商品恶意软件Chalubo，这种恶意软件能够执行自定义Lua脚本，永久覆盖路由器固件。研究者确信，这次恶意固件的批量更新是故意行为，目的就是为了导致大规模宕机。

黑莲花实验室通过全球遥测数据发现，Chalubo恶意软件在2023年11月和2024年初非常活跃。在10月的一个30天快照中，发现超过33万个独立IP地址与75个已知C2节点通信至少两天，表明感染情况非常严重。与常见的僵尸网络不同，95%的感染设备只与一个C2控制面板通信，研究人员认为这表明事件背后的实体具有不同的操作孤岛。

黑莲花实验室绘制了事件发生时间范围内的IP地址及其对应的国家/地区，并生成了以下热图：