Cyberangriff zerstörte 600.000 Router in den USA.

Eine unbekannte Hackergruppe führte 2023 einen massiven Cyberangriff auf ein Telekommunikationsunternehmen in den USA durch, bei dem über 600.000 Internet-Router deaktiviert wurden.

In einem neuen Bericht, veröffentlicht von Lumen Technologies’ Black Lotus Labs, behaupten Sicherheitsforscher, dass der mysteriöse Angriff, der in den letzten Monaten entdeckt wurde, Ende Oktober 2023 stattfand.

Über 600.000 kleine Büro-/Heimnetzwerk-Router (SOHO), die einem einzigen Internetdienstanbieter (ISP) gehörten, wurden offline genommen.

Laut dem Bericht fand der Vorfall über einen Zeitraum von 72 Stunden zwischen dem 25. und 27. Oktober 2023 in mehreren US-Bundesstaaten statt. Betroffen waren drei Routermodelle, die vom ISP ausgegeben wurden: ActionTec T3200, ActionTec T3260 und Sagemcom F5380.

Das mysteriöse Ereignis, das von dem Team der Black Lotus Labs von Lumen Technologies den Codenamen „Pumpkin Eclipse“ erhielt, machte die infizierten Geräte dauerhaft unbrauchbar und erforderte einen hardwarebasierten Austausch.

Während dieses Zeitraums wurden 49 % aller Modems abrupt aus dem autonomen Systemnummer (ASN) des betroffenen ISPs entfernt.

„Bei der Suche nach Exploits, die diese Modelle in der [Vulnerabilitätswarnplattform] OpenCVE für ActionTec betreffen, waren für die beiden betreffenden Modelle keine gelistet, was darauf hindeutet, dass der Bedrohungsakteur wahrscheinlich entweder schwache Anmeldeinformationen missbraucht oder eine exponierte Verwaltungsoberfläche ausgenutzt hat“, sagten die Black Lotus-Forscher in dem Blogbeitrag.

Obwohl Black Lotus Labs den betroffenen ISP nicht nannte, stimmen die Einzelheiten, die sie berichten, mit dem in Arkansas ansässigen ISP-Anbieter Windstream überein, der zur gleichen Zeit einen Ausfall erlitten hatte. Ab dem 25. Oktober 2023 begannen Windstream-Abonnenten, auf Reddit zu berichten, dass ihre Router ein „statisches rotes Licht“ anzeigten.

Da eine Fernbehebung nicht möglich war, wurden Windstream-Kunden gebeten, ihre deaktivierten Router gegen neue Geräte zurückzugeben, um ihren Internetzugang wiederherzustellen. Die Router, die auf mindestens 600.000 geschätzt werden, wurden von einem unbekannten Bedrohungsakteur offline genommen.

Jetzt, Monate später, hat die Analyse von Lumen „Chalubo“ identifiziert, einen handelsüblichen Remote-Access-Trojaner (RAT), der erstmals im Oktober 2018 von Sophos dokumentiert wurde, als die primäre Nutzlast, die für das oben genannte Ereignis verantwortlich ist. Er löschte Elemente des Betriebs-Codes der Router und machte sie effektiv unbrauchbar.

Offenbar erlaubte eine in Chalubo integrierte Funktion dem Bedrohungsakteur, Lua-Skript-Funktionalität auf den infizierten Geräten auszuführen. Die Forscher glauben, dass die heruntergeladene Malware Code ausführte, der die Router-Firmware dauerhaft überschreibt.

Lumen hat keine Details darüber bereitgestellt, wer hinter dem Angriff steckte oder wie das Firmware-Update an alle betroffenen Kunden geliefert wurde – ob durch eine unbekannte Schwachstelle, schwache Anmeldeinformationen oder Zugang zu einer exponierten Verwaltungsoberfläche.

Laut den Forschern können die potenziellen Folgen des Angriffs ernst sein.

„Wir schätzen mit hoher Zuversicht, dass das bösartige Firmware-Update ein absichtlicher Akt war, der darauf abzielte, einen Ausfall zu verursachen. Zerstörerische Angriffe dieser Art sind äußerst besorgniserregend, insbesondere in diesem Fall.

Ein erheblicher Teil des Dienstgebiets dieses ISPs umfasst ländliche oder unterversorgte Gemeinschaften; Orte, an denen die Bewohner möglicherweise den Zugang zu Notdiensten verloren haben, landwirtschaftliche Betriebe möglicherweise kritische Informationen aus der Fernüberwachung von Ernten während der Erntezeit verloren haben und Gesundheitsdienstleister vom Telemedizin oder den Patientenakten abgeschnitten sind“, sagten die Lumen-Forscher in dem Bericht.

Obwohl Black Lotus Labs das zerstörerische Modul nicht wiederherstellen konnten, überwachen sie die Aktivitäten, um zukünftige Angriffe zu verhindern.

Es wird empfohlen, dass Organisationen, die SOHO-Router verwalten, sich nicht auf gängige Standardpasswörter verlassen, und Kunden mit SOHO-Routern ihre Router regelmäßig neu starten und Sicherheitsupdates und Patches installieren.