Ataque Cibernético Destruiu 600.000 Roteadores Nos EUA.

Um grupo de hackers não identificado realizou um massivo ciberataque a uma empresa de telecomunicações nos EUA em 2023, supostamente desativando mais de 600.000 roteadores de internet.

Em um novo relatório publicado pelos Black Lotus Labs da Lumen Technologies, pesquisadores de segurança afirmam que o ataque misterioso, que foi descoberto nos últimos meses, ocorreu no final de outubro de 2023.

Mais de 600.000 roteadores de pequeno escritório/escritório em casa (SOHO) pertencentes a um único provedor de serviços de internet (ISP) foram desconectados.

De acordo com o relatório, o incidente ocorreu durante um período de 72 horas entre 25 e 27 de outubro de 2023, em vários estados dos EUA. Ele afetou três modelos de roteadores emitidos pelo ISP: ActionTec T3200, ActionTec T3260 e Sagemcom F5380.

O evento misterioso, codinome “Eclipse de Abóbora” pela equipe dos Black Lotus Labs da Lumen Technologies, tornou os dispositivos infectados permanentemente inoperáveis e exigiu uma substituição baseada em hardware.

Durante esse período, 49% de todos os modems foram abruptamente removidos do número do sistema autônomo (ASN) do ISP afetado.

“Quando procuramos por exploits que impactam esses modelos na [plataforma de alerta de vulnerabilidades] OpenCVE para ActionTec, nenhum foi listado para os dois modelos em questão, sugerindo que o ator da ameaça provavelmente abusou de credenciais fracas ou explorou uma interface administrativa exposta,” disseram os pesquisadores do Black Lotus em um post no blog.

Embora os Black Lotus Labs não tenham nomeado o ISP afetado, os detalhes que relatam coincidem com o provedor de ISP baseado em Arkansas, Windstream, que sofreu uma interrupção por volta da mesma época. A partir de 25 de outubro de 2023, assinantes da Windstream começaram a relatar no Reddit que seus roteadores estavam exibindo uma “luz vermelha estática.”

Como uma correção remota não era possível, os clientes da Windstream foram solicitados a devolver seus roteadores desativados para novos dispositivos para restaurar seu acesso à internet. Os roteadores, estimados em um mínimo de 600.000, foram desconectados por um ator de ameaça desconhecido.

Agora, meses depois, a análise da Lumen identificou “Chalubo,” um trojan de acesso remoto (RAT) de consumo documentado pela primeira vez pela Sophos em outubro de 2018, como o principal payload responsável pelo evento acima. Ele deletou elementos do código operacional dos roteadores e os tornou efetivamente inoperáveis.

Aparentemente, um recurso embutido no Chalubo permitiu que o ator da ameaça executasse funcionalidade de script Lua nos dispositivos infectados. Os pesquisadores acreditam que o malware baixado executou um código que sobrescreveu permanentemente o firmware do roteador.

A Lumen não forneceu detalhes sobre quem estava por trás do ataque ou como a atualização do firmware foi enviada a todos os clientes afetados—seja através de uma vulnerabilidade desconhecida, credenciais fracas ou acesso a uma interface administrativa exposta.

De acordo com os pesquisadores, as consequências potenciais do ataque podem ser sérias.

“Avaliamo-nos com alta confiança de que a atualização de firmware maliciosa foi um ato deliberado destinado a causar uma interrupção. Ataques destrutivos dessa natureza são altamente preocupantes, especialmente neste caso.

Uma parte considerável da área de serviço deste ISP cobre comunidades rurais ou carentes; lugares onde os residentes podem ter perdido o acesso a serviços de emergência, preocupações agrícolas podem ter perdido informações críticas do monitoramento remoto das colheitas durante a colheita, e prestadores de saúde cortados do teleatendimento ou dos registros dos pacientes,” disseram os pesquisadores da Lumen no relatório.

Embora os Black Lotus Labs não tenham conseguido recuperar o módulo destrutivo, eles estão monitorando a atividade para prevenir futuros ataques.

Recomenda-se que organizações que gerenciam roteadores SOHO não confiem em senhas padrão comuns, e que clientes com roteadores SOHO reiniciem regularmente os roteadores e instalem atualizações de segurança e patches.