Più di 600.000 router per piccoli uffici ed uffici domestici (nel senso di lavoro da casa, smart working) sono stati messi fuori uso e disattivati a seguito di un attacco informatico distruttivo messo in atto da attori cibernetici non identificati, interrompendo l’accesso a Internet degli utenti.
Come sono stati attaccati i 600.000 router in una vasta serie di uffici
L’evento misterioso, avvenuto tra il 25 e il 27 ottobre 2023, ha colpito un unico provider di servizi Internet (ISP) negli Stati Uniti ed è stato denominato Pumpkin Eclipse dal team Black Lotus Labs (da non confondere con l’omonimo malware) di Lumen Technologies.
Questo attacco ja colpito specificamente tre modelli di router emessi dall’ISP: ActionTec T3200, ActionTec T3260 e Sagemcom.
La parola agli esperti di sicurezza informatica di Lumen riguardo gli attacchi dei router di questi uffici
“L’incidente [dei router degli uffici] si è verificato in un periodo di 72 ore tra il 25 e il 27 ottobre, ha reso i dispositivi infetti permanentemente inutilizzabili e ha richiesto una sostituzione hardware“, ha dichiarato l’azienda in un rapporto tecnico.
Il blackout dei router negli uffici è piuttosto significativo: non solo perché ha portato alla rimozione improvvisa del 49% di tutti i modem dal numero di sistema autonomo (ASN) dell’ISP interessato durante il periodo di tempo.
Sebbene il nome dell’ISP non sia stato divulgato, le prove indicano che si tratta di Windstream, che ha subito un’interruzione nello stesso periodo, facendo sì che gli utenti segnalassero una “luce rossa fissa” sui modem interessati.
Non è tutto: sono coinvolte delle minacce informatiche di tipi più o mno conosciuti
Ora, mesi dopo, l’analisi di Lumen ha rivelato che un trojan di accesso remoto (RAT) chiamato Chalubo, un malware molto difficile da rilevare (praticamente un malware “furtivo”) documentato per la prima volta da Sophos nell’ottobre 2018, è responsabile del sabotaggio, con l’avversario che lo ha scelto presumibilmente nel tentativo di complicare gli sforzi di attribuzione piuttosto che utilizzare un toolkit personalizzato.
“Chalubo ha payload progettati per tutti i principali kernel SOHO/IoT, funzionalità pre-costruite per eseguire attacchi DDoS e può eseguire qualsiasi script Lua inviato al bot“, ha detto l’azienda. “Sospettiamo che la funzionalità Lua sia stata probabilmente impiegata dall’attore malintenzionato per recuperare il payload distruttivo.”
I metodi che hanno portato al blackout di internet sui router di vari uffici, ancora non è noto
Detto ciò, il metodo di accesso iniziale esatto utilizzato per violare i router non è attualmente chiaro, sebbene si ipotizzi che possa aver coinvolto l’abuso di credenziali deboli o l’uso improprio di un’interfaccia amministrativa esposta.
Dopo aver ottenuto un punto d’appoggio, la catena di infezione procede a rilasciare script shell che aprono la strada a un loader progettato infine per recuperare e lanciare Chalubo da un server esterno; tuttavia il modulo di script Lua distruttivo recuperato dal trojan è sconosciuto.
Un aspetto notevole della campagna è il suo targeting di un singolo ASN, al contrario di altri che hanno tipicamente colpito un modello specifico di router o una vulnerabilità comune, sollevando la possibilità che fosse deliberatamente mirato, sebbene le motivazioni dietro non siano ancora determinate.
“L’evento è stato senza precedenti a causa del numero di unità colpite: nessun attacco che ricordiamo ha richiesto la sostituzione di oltre 600.000 dispositivi“, ha detto Lumen. “Inoltre, questo tipo di attacco è accaduto solo una volta prima, con AcidRain usato come precursore di un’invasione militare attiva.”
Breve considerazione
Solitamente gli attacchi informatici mirano a carpire dati personali dell’utente, o dati aziendali molto importanti, questo caso è molto singolare: qui si tratta di spegnere letteralmente la connessione ad uffici che di fatto ne hanno necessità; che è una cosa che raramente è capitata nella storia della sicurezza informatica.