У жовтні минулого року одночасно щонайменше 600 000 маршрутизаторів американського інтернет-провайдера Windstream вийшли з ладу. Як зазначали користувачі на різних форумах, проблему не вдалося вирішити перезавантаженням, ні скиданням налаштувань.
Зачеплені атакою моделі були зроблені фірмами ActionTec та Sagemcom. Windstream має 1,6 мільйона клієнтів у США. Постраждалі спочатку звинуватили компанію, що після оновлення маршрутизатори стали непридатними для використання.
Компанія Windstream відреагувала та поставила клієнтам нові маршрутизатори. Як з’ясувала лабораторія Black Lotus компанії з кібербезпеки Lumen Technologies, причиною збою було шкідливе програмне забезпечення. Вони називають цю атаку The Pumpkin Eclipse (можна перекласти як «гарбузове затемнення»).
Статистика показує вихід із ладу маршрутизаторів. Після 27 жовтня вони більше не працювали. Зображення: Black Lotus Протягом 72 годин, починаючи з 25 жовтня, щонайменше 600 000 маршрутизаторів стали непридатними для використання. Щонайменше 179 000 було вироблено ActionTec, як мінімум 480 000 – Sagemcom.
Всі маршрутизатори були підключені через номер автономної системи від невідомого інтернет-провайдера. Black Lotus Labs не стверджує, що йдеться про провайдера Windstream, проте все вказує на нього, пише Ars Technica.
Незрозуміло, хто стоїть за атакою і якою була мотивація зловмисника. Використовувалося масове шкідливе програмне забезпечення під назвою «Chalubo». Це троян віддаленого доступу (RAT), який можна легко придбати без необхідності програмувати чи налаштовувати зловмисників. Атаки здійснюються автоматично.
Троянець видаляє всі сліди, тому його не можна відстежити. Він видалив усі файли на жорсткому диску роутера, включаючи прошивку, і зашифрував усі повідомлення із сервером. Він також може виконати певний сценарій, який, мабуть, використовували зловмисники для видалення файлів.
Дослідники безпеки не знають ні про яку іншу атаку, яка б паралізувати маршрутизатори такою мірою. У кращому випадку можна порівняти атаку з використанням шкідливого програмного забезпечення AcidRain 2022 року, в результаті якої 10 000 модемів Viasat в Україні стали непридатними для використання.
Повідомляється, що попередні атаки також пов’язані з конкретною моделлю маршрутизатора, а не з ASN. Як зловмисникам вдалося здійснити атаку, досі неясно; дослідникам не вдалося виявити вразливість.
Black Lotus Labs називає цю подію дуже тривожною, оскільки особливо постраждали користувачі в сільській місцевості, які покладаються на інтернет-з’єднання. Збій може завдати значних економічних збитків, наприклад, у сільському господарстві, де фермери керують технікою. Можливо, що екстрені служби можуть постраждати, а медичне обладнання перестане працювати.
Проте захисту від таких атак досі немає. Black Lotus Labs рекомендує завжди підтримувати маршрутизатор у актуальному стані, використовувати надійний пароль та регулярно перезавантажувати пристрій.