В октябре прошлого года одновременно по меньшей мере 600 000 маршрутизаторов американского интернет-провайдера Windstream вышли из строя. Как отмечали пользователи на различных форумах, проблему не удалось решить ни перезагрузкой, ни сбросом настроек.
Затронутые атакой модели были произведены фирмами ActionTec и Sagemcom. У Windstream 1,6 миллиона клиентов в США. Пострадавшие первоначально обвинили компанию в том, что после обновления маршрутизаторы стали непригодными для использования.
Компания Windstream отреагировала и поставила клиентам новые маршрутизаторы. Как выяснила лаборатория Black Lotus компании по кибербезопасности Lumen Technologies, причиной сбоя было вредоносное ПО. Они называют эту атаку The Pumpkin Eclipse (можно перевести как «тыквенное затмение»).
Статистика показывает выход из строя маршрутизаторов. После 27 октября они больше не работали. Изображение: Black Lotus В течение 72 часов, начиная с 25 октября, по меньшей мере 600 000 маршрутизаторов стали непригодными для использования. По меньшей мере 179 000 были произведены ActionTec, как минимум 480 000 — Sagemcom.
Все маршрутизаторы были подключены через номер автономной системы (ASN) от неизвестного интернет-провайдера. Black Lotus Labs не утверждает, что речь идет о провайдере Windstream, однако всё указывает на него, пишет Ars Technica.
Неясно, кто стоит за атакой и какова была мотивация злоумышленника. Использовалось массовое вредоносное ПО под названием «Chalubo». Это троян удаленного доступа (RAT), который можно легко приобрести без необходимости программировать или настраивать злоумышленникам. Атаки осуществляются автоматически.
Троянец удаляет все следы, поэтому его невозможно отследить. Он удалил все файлы на жестком диске роутера, включая прошивку, и зашифровал все сообщения с сервером. Он также может выполнить определенный сценарий, который, вероятно, использовали злоумышленники для удаления файлов.
Исследователи безопасности не знают ни о какой другой атаке, которая могла бы парализовать маршрутизаторы в такой степени. В лучшем случае можно сравнить атаку с использованием вредоносного ПО AcidRain 2022 года, в результате которой 10 000 модемов Viasat на Украине стали непригодными для использования.
Сообщается, что предыдущие атаки также были связаны с конкретной моделью маршрутизатора, а не с ASN. Как злоумышленникам удалось осуществить атаку, до сих пор неясно; исследователям не удалось выявить уязвимость.
Black Lotus Labs называет это событие «очень тревожным», поскольку особенно пострадали пользователи в сельской местности, которые полагаются на интернет-соединение. Сбой может нанести значительный экономический ущерб, например, в сельском хозяйстве, где фермеры управляют техникой. Возможно даже, что экстренные службы могут пострадать, а медицинское оборудование перестанет работать.
Однако защиты от таких атак до сих пор нет. Black Lotus Labs рекомендует всегда поддерживать маршрутизатор в актуальном состоянии, использовать надежный пароль и регулярно перезагружать устройство.
