Attacco informatico ha distrutto 600.000 router negli Stati Uniti

Un gruppo di hacker non identificato ha effettuato un massiccio attacco informatico a una compagnia di telecomunicazioni negli Stati Uniti nel 2023, disabilitando oltre 600.000 router internet.

In un nuovo rapporto pubblicato dai Black Lotus Labs di Lumen Technologies, i ricercatori di sicurezza affermano che l’attacco misterioso, scoperto nei mesi recenti, si è verificato alla fine di ottobre 2023.

Oltre 600.000 router per piccoli uffici/uffici domestici (SOHO) appartenenti a un singolo fornitore di servizi internet (ISP) sono stati messi offline.

Secondo il rapporto, l’incidente si è verificato in un periodo di 72 ore tra il 25 e il 27 ottobre 2023, in diversi stati degli Stati Uniti. Ha colpito tre modelli di router emessi dall’ISP: ActionTec T3200, ActionTec T3260 e Sagemcom F5380.

L’evento misterioso, soprannominato “Pumpkin Eclipse” dal team dei Black Lotus Labs di Lumen Technologies, ha reso i dispositivi infetti permanentemente inoperabili e ha richiesto una sostituzione hardware.

Durante questo periodo, il 49% di tutti i modem è stato rimosso bruscamente dal numero di sistema autonomo (ASN) dell’ISP colpito.

“Cercando exploit che impattassero questi modelli nella piattaforma di avviso di vulnerabilità OpenCVE per ActionTec, nessuno è stato elencato per i due modelli in questione, suggerendo che l’attore della minaccia probabilmente ha abusato di credenziali deboli o ha sfruttato un’interfaccia amministrativa esposta,” hanno dichiarato i ricercatori di Black Lotus nel post del blog.

Sebbene i Black Lotus Labs non abbiano nominato l’ISP colpito, i dettagli riportati corrispondono all’ISP con sede in Arkansas Windstream, che aveva subito un’interruzione intorno allo stesso periodo. A partire dal 25 ottobre 2023, gli abbonati Windstream hanno iniziato a segnalare su Reddit che i loro router mostravano una “luce rossa fissa.”

Poiché una riparazione remota non era possibile, ai clienti Windstream è stato chiesto di restituire i loro router disabilitati per nuovi dispositivi per ripristinare l’accesso a internet. I router, stimati a un minimo di 600.000, sono stati messi offline da un attore della minaccia sconosciuto.

Ora, mesi dopo, l’analisi di Lumen ha identificato “Chalubo,” un trojan di accesso remoto (RAT) commerciale documentato per la prima volta da Sophos nell’ottobre 2018, come il carico principale responsabile dell’evento sopra descritto. Ha cancellato elementi del codice operativo dei router e li ha resi effettivamente inoperabili.

A quanto pare, una funzionalità integrata in Chalubo ha permesso all’attore della minaccia di eseguire funzionalità di script Lua sui dispositivi infetti. I ricercatori credono che il malware scaricato eseguisse codice che sovrascriveva permanentemente il firmware del router.

Lumen non ha fornito dettagli su chi fosse dietro l’attacco o come l’aggiornamento del firmware sia stato inviato a tutti i clienti colpiti—se tramite una vulnerabilità sconosciuta, credenziali deboli o accesso a un’interfaccia amministrativa esposta.

Secondo i ricercatori, le conseguenze potenziali dell’attacco possono essere gravi.

“Valutiamo con alta fiducia che l’aggiornamento del firmware malevolo fosse un atto deliberato inteso a causare un’interruzione. Attacchi distruttivi di questo tipo sono molto preoccupanti, specialmente in questo caso.

Una parte considerevole dell’area di servizio di questo ISP copre comunità rurali o sottoservite; luoghi in cui i residenti potrebbero aver perso l’accesso ai servizi di emergenza, preoccupazioni agricole potrebbero aver perso informazioni critiche dal monitoraggio remoto dei raccolti durante il raccolto, e fornitori di assistenza sanitaria isolati da telemedicina o cartelle cliniche dei pazienti,” hanno dichiarato i ricercatori di Lumen nel rapporto.

Sebbene i Black Lotus Labs non siano stati in grado di recuperare il modulo distruttivo, stanno monitorando l’attività per prevenire futuri attacchi.

Raccomandano alle organizzazioni che gestiscono router SOHO di non fare affidamento su password predefinite comuni e ai clienti con router SOHO di riavviare regolarmente i router e installare aggiornamenti di sicurezza e patch.