Ciberataque destruyó 600,000 enrutadores en EE. UU.

Un grupo de hackers no identificado llevó a cabo un ciberataque masivo a una empresa de telecomunicaciones en EE. UU. en 2023, deshabilitando supuestamente más de 600,000 enrutadores de internet.

En un nuevo informe publicado por los Black Lotus Labs de Lumen Technologies, los investigadores de seguridad afirman que el misterioso ataque, que fue descubierto en los últimos meses, tuvo lugar a finales de octubre de 2023.

Más de 600,000 enrutadores de oficina pequeña/oficina en casa (SOHO) pertenecientes a un solo proveedor de servicios de internet (ISP) fueron desconectados.

Según el informe, el incidente tuvo lugar durante un período de 72 horas entre el 25 y el 27 de octubre de 2023, en varios estados de EE. UU. Afectó a tres modelos de enrutadores emitidos por el ISP: ActionTec T3200, ActionTec T3260 y Sagemcom F5380.

El evento misterioso, denominado “Eclipse de Calabaza” por el equipo de Black Lotus Labs de Lumen Technologies, dejó los dispositivos infectados permanentemente inoperables y requirió un reemplazo basado en hardware.

Durante este período, el 49% de todos los módems fueron abruptamente eliminados del número de sistema autónomo (ASN) del ISP afectado.

“Al buscar exploits que impacten estos modelos en [plataforma de alerta de vulnerabilidades] OpenCVE para ActionTec, ninguno fue listado para los dos modelos en cuestión, lo que sugiere que el actor de la amenaza probablemente abusó de credenciales débiles o explotó una interfaz administrativa expuesta”, dijeron los investigadores de Black Lotus en la publicación del blog.

Si bien Black Lotus Labs no nombró al ISP afectado, los detalles que reportan coinciden con el proveedor de ISP con sede en Arkansas, Windstream, que había sufrido una interrupción alrededor del mismo tiempo. A partir del 25 de octubre de 2023, los suscriptores de Windstream comenzaron a informar en Reddit que sus enrutadores mostraban una “luz roja estática”.

Dado que una solución remota no era posible, se pidió a los clientes de Windstream que devolvieran sus enrutadores deshabilitados para obtener nuevos dispositivos y restaurar su acceso a internet. Los enrutadores, estimados en un mínimo de 600,000, fueron desconectados por un actor de amenaza desconocido.

Ahora, meses después, el análisis de Lumen ha identificado “Chalubo”, un troyano de acceso remoto (RAT) de uso común documentado por primera vez por Sophos en octubre de 2018, como la carga principal responsable del evento anterior. Eliminó elementos del código operativo de los enrutadores y los hizo efectivamente inoperables.

Aparentemente, una función incorporada en Chalubo permitió al actor de la amenaza ejecutar funcionalidad de script Lua en los dispositivos infectados. Los investigadores creen que el malware descargado ejecutó un código que sobrescribió permanentemente el firmware del enrutador.

Lumen no ha proporcionado detalles sobre quién estuvo detrás del ataque o cómo se envió la actualización del firmware a todos los clientes afectados, ya sea a través de una vulnerabilidad desconocida, credenciales débiles o acceso a una interfaz administrativa expuesta.

Según los investigadores, las posibles consecuencias del ataque pueden ser graves.

“Evaluamos con alta confianza que la actualización de firmware maliciosa fue un acto deliberado destinado a causar una interrupción. Los ataques destructivos de esta naturaleza son muy preocupantes, especialmente en este caso.

Una parte considerable del área de servicio de este ISP cubre comunidades rurales o desatendidas; lugares donde los residentes pueden haber perdido el acceso a servicios de emergencia, preocupaciones agrícolas pueden haber perdido información crítica del monitoreo remoto de cultivos durante la cosecha, y proveedores de atención médica desconectados de la telemedicina o registros de pacientes”, dijeron los investigadores de Lumen en el informe.

Aunque los Black Lotus Labs no pudieron recuperar el módulo destructivo, están monitoreando la actividad para prevenir futuros ataques.

Recomiendan a las organizaciones que gestionan enrutadores SOHO no confiar en contraseñas predeterminadas comunes, y a los clientes con enrutadores SOHO reiniciar regularmente los enrutadores e instalar actualizaciones de seguridad y parches.