Une cyberattaque a détruit 600 000 routeurs aux États-Unis.

Un groupe de hackers non identifié a mené une cyberattaque massive contre une entreprise de télécommunications aux États-Unis en 2023, désactivant apparemment plus de 600 000 routeurs internet.

Dans un nouveau rapport publié par les Black Lotus Labs de Lumen Technologies, des chercheurs en sécurité affirment que l’attaque mystérieuse, découverte ces derniers mois, a eu lieu fin octobre 2023.

Plus de 600 000 routeurs de bureau à domicile (SOHO) appartenant à un seul fournisseur d’accès internet (FAI) ont été mis hors ligne.

Selon le rapport, l’incident s’est produit sur une période de 72 heures entre le 25 et le 27 octobre 2023, dans plusieurs États américains. Il a affecté trois modèles de routeurs émis par le FAI : ActionTec T3200, ActionTec T3260 et Sagemcom F5380.

L’événement mystérieux, codé nommé « Pumpkin Eclipse » par l’équipe des Black Lotus Labs de Lumen Technologies, a rendu les appareils infectés définitivement inopérables et a nécessité un remplacement matériel.

Pendant cette période, 49 % de tous les modems ont été brusquement retirés du numéro de système autonome (ASN) du FAI touché.

« En recherchant des exploits impactant ces modèles sur [la plateforme d’alerte de vulnérabilités] OpenCVE pour ActionTec, aucun n’était listé pour les deux modèles en question, suggérant que l’acteur de la menace a probablement abusé de mots de passe faibles ou exploité une interface administrative exposée », ont déclaré les chercheurs de Black Lotus dans le billet de blog.

Bien que les Black Lotus Labs n’aient pas nommé le FAI affecté, les détails qu’ils rapportent correspondent à ceux du fournisseur d’accès internet basé en Arkansas, Windstream, qui avait subi une panne à peu près au même moment. À partir du 25 octobre 2023, les abonnés de Windstream ont commencé à signaler sur Reddit que leurs routeurs affichaient une « lumière rouge fixe ».

Puisqu’une réparation à distance n’était pas possible, les clients de Windstream ont été invités à retourner leurs routeurs désactivés pour obtenir de nouveaux appareils afin de rétablir leur accès internet. Les routeurs, estimés à un minimum de 600 000, ont été mis hors ligne par un acteur de menace inconnu.

Maintenant, des mois plus tard, l’analyse de Lumen a identifié « Chalubo », un cheval de Troie d’accès à distance (RAT) commercial documenté pour la première fois par Sophos en octobre 2018, comme le principal logiciel malveillant responsable de l’événement ci-dessus. Il a supprimé des éléments du code opérationnel des routeurs et les a rendus effectivement inopérables.

Apparemment, une fonctionnalité intégrée à Chalubo a permis à l’acteur de la menace d’exécuter des fonctionnalités de script Lua sur les appareils infectés. Les chercheurs pensent que le logiciel malveillant téléchargé a exécuté un code qui a écrasé de manière permanente le firmware du routeur.

Lumen n’a pas fourni de détails sur qui était derrière l’attaque ou comment la mise à jour du firmware a été envoyée à tous les clients affectés—que ce soit par le biais d’une vulnérabilité inconnue, de mots de passe faibles ou d’un accès à une interface administrative exposée.

Selon les chercheurs, les conséquences potentielles de l’attaque peuvent être graves.

« Nous évaluons avec une grande confiance que la mise à jour de firmware malveillante était un acte délibéré destiné à provoquer une panne. Les attaques destructrices de cette nature sont très préoccupantes, surtout dans ce cas.

Une part importante de la zone de service de ce FAI couvre des communautés rurales ou mal desservies ; des endroits où les résidents peuvent avoir perdu l’accès aux services d’urgence, des préoccupations agricoles peuvent avoir perdu des informations critiques de surveillance à distance des cultures pendant la récolte, et des prestataires de soins de santé coupés des téléconsultations ou des dossiers des patients », ont déclaré les chercheurs de Lumen dans le rapport.

Bien que les Black Lotus Labs n’aient pas pu récupérer le module destructeur, ils surveillent l’activité pour prévenir de futures attaques.

Ils recommandent aux organisations gérant des routeurs SOHO de ne pas se fier à des mots de passe par défaut courants, et aux clients ayant des routeurs SOHO de redémarrer régulièrement les routeurs et d’installer des mises à jour de sécurité et des correctifs.