Un jour d’octobre dernier, les abonnés d’un FAI connu sous le nom de Windstream ont commencé à inonder les forums de messages d’informations selon lesquelles leurs routeurs avaient soudainement cessé de fonctionner et restaient insensibles aux redémarrages et à toutes les autres tentatives visant à les réactiver.
« Les routeurs restent désormais là avec une lumière rouge fixe sur le devant », a écrit un utilisateur, faisant référence aux modèles de routeurs ActionTec T3200 que Windstream leur a fournis, ainsi qu’à un voisin d’à côté. « Ils ne répondront même pas à un RESET. »
Dans les messages, parus pendant quelques jours à partir du 25 octobre, de nombreux utilisateurs de Windstream accusaient le FAI d’être à l’origine du blocage massif. Ils ont déclaré que c’était le résultat de la mise à jour poussée par l’entreprise qui avait empoisonné les appareils. Le service haut débit Kinetic de Windstream compte environ 1,6 million d’abonnés dans 18 États, dont l’Iowa, l’Alabama, l’Arkansas, la Géorgie et le Kentucky. Pour de nombreux clients, Kinetic constitue un lien essentiel avec le monde extérieur.
« Nous avons 3 enfants et tous deux travaillons à domicile », a écrit un autre abonné sur le même forum. « Cela nous a facilement coûté plus de 1 500 $ en affaires perdues, pas de télévision, de WiFi, d’heures au téléphone, etc. C’est tellement triste qu’une entreprise puisse traiter des clients comme ça sans s’en soucier. »
Après avoir finalement déterminé que les routeurs étaient définitivement inutilisables, Windstream a envoyé de nouveaux routeurs aux clients concernés. Black Lotus Labs a nommé l’événement Pumpkin Eclipse.
Un acte délibéré
Un rapport publié jeudi par Black Lotus Labs, de la société de sécurité Lumen Technologies, pourrait apporter un nouvel éclairage sur l’incident, que Windstream n’a pas encore expliqué. Les chercheurs de Black Lotus Labs ont déclaré que sur une période de 72 heures commençant le 25 octobre, les logiciels malveillants ont détruit plus de 600 000 routeurs connectés à un seul numéro de système autonome, ou ASN, appartenant à un FAI anonyme.
Bien que les chercheurs n’identifient pas le FAI, les informations qu’ils rapportent correspondent presque parfaitement à celles détaillées dans les messages d’octobre des abonnés Windstream. Plus précisément, la date de début du maçonnage de masse, les modèles de routeurs concernés, la description du FAI et l’affichage d’un voyant rouge statique par les routeurs ActionTec hors service. Les représentants de Windstream ont refusé de répondre aux questions envoyées par courrier électronique.
Selon Black Lotus Labs, les routeurs – estimés de manière prudente à un minimum de 600 000 – ont été détruits par un acteur malveillant inconnu aux motivations également inconnues. L’acteur a pris des mesures délibérées pour brouiller les traces en utilisant un logiciel malveillant connu sous le nom de Chalubo, plutôt qu’une boîte à outils développée sur mesure. Une fonctionnalité intégrée à Chalubo permettait à l’acteur d’exécuter des scripts Lua personnalisés sur les appareils infectés. Les chercheurs pensent que le logiciel malveillant a téléchargé et exécuté du code qui a définitivement écrasé le micrologiciel du routeur.
« Nous estimons avec une grande confiance que la mise à jour du micrologiciel malveillant était un acte délibéré destiné à provoquer une panne, et même si nous nous attendions à voir un certain nombre de marques et de modèles de routeurs affectés sur Internet, cet événement s’est limité au seul ASN », a déclaré jeudi. » a déclaré le rapport avant de noter les implications troublantes d’un seul logiciel malveillant coupant soudainement les connexions de 600 000 routeurs.
Les chercheurs ont écrit :
Les attaques destructrices de cette nature sont très préoccupantes, particulièrement dans ce cas-ci. Une partie importante de la zone de service de ce FAI couvre les communautés rurales ou mal desservies ; des endroits où les résidents ont peut-être perdu l’accès aux services d’urgence, les entreprises agricoles ont peut-être perdu des informations cruciales grâce à la surveillance à distance des cultures pendant la récolte et les prestataires de soins de santé ont été coupés de la télésanté ou des dossiers des patients. Il va sans dire que la reprise après toute perturbation de la chaîne d’approvisionnement prend plus de temps dans les communautés isolées ou vulnérables.
Après avoir pris connaissance de la panne massive du routeur, Black Lotus Labs a commencé à interroger le moteur de recherche Censys pour connaître les modèles de routeur concernés. Un instantané d’une semaine a rapidement révélé qu’une ASN spécifique avait connu une baisse de 49 pour cent de ces modèles au moment même où les rapports commençaient. Cela équivaut à la déconnexion d’au moins 179 000 routeurs ActionTec et de plus de 480 000 routeurs vendus par Sagemcom.
La connexion et la déconnexion constantes des routeurs à n’importe quel FAI compliquent le processus de suivi, car il est impossible de savoir si une disparition est le résultat d’un désabonnement normal ou de quelque chose de plus compliqué. Black Lotus Labs a déclaré qu’une estimation prudente est qu’au moins 600 000 des déconnexions suivies étaient le résultat de l’infection des appareils par Chaluba et, à partir de là, de l’effacement permanent du micrologiciel sur lequel ils fonctionnaient.
Après avoir identifié l’ASN, Black Lotus Labs a découvert un mécanisme complexe d’infection multi-chemins pour l’installation de Chaluba sur les routeurs. Le graphique suivant fournit un aperçu logique.
Il n’existe pas beaucoup de précédents connus de logiciels malveillants qui effacent en masse les routeurs comme l’ont constaté les chercheurs. Le plus proche a peut-être été la découverte en 2022 d’AcidRain, le nom donné au malware qui a détruit 10 000 modems du fournisseur d’accès Internet par satellite Viasat. La panne, qui a touché l’Ukraine et d’autres parties de l’Europe, a été programmée au moment de l’invasion par la Russie du plus petit pays voisin.
Un représentant de Black Lotus Labs a déclaré dans une interview que les chercheurs ne peuvent pas exclure qu’un État-nation soit à l’origine de l’incident d’effacement du routeur affectant le FAI. Mais jusqu’à présent, les chercheurs affirment qu’ils n’ont connaissance d’aucun chevauchement entre les attaques et les groupes d’États-nations connus qu’ils suivent.
Les chercheurs doivent encore déterminer les premiers moyens d’infecter les routeurs. Il est possible que les auteurs de la menace aient exploité une vulnérabilité, même si les chercheurs ont déclaré qu’ils n’étaient au courant d’aucune vulnérabilité connue dans les routeurs concernés. D’autres possibilités sont que l’acteur malveillant ait abusé de ses informations d’identification faibles ou accédé à un panneau administratif exposé.
Une attaque pas comme les autres
Bien que les chercheurs aient déjà analysé les attaques contre les routeurs des particuliers et des petites entreprises, ils ont déclaré que cette dernière se démarque par deux éléments. Ils ont expliqué :
Premièrement, cette campagne a abouti à un remplacement matériel des appareils concernés, ce qui indique probablement que l’attaquant a corrompu le micrologiciel de modèles spécifiques. L’événement était sans précédent en raison du nombre d’unités touchées : aucune attaque dont nous nous souvenons n’a nécessité le remplacement de plus de 600 000 appareils. De plus, ce type d’attaque ne s’est produit qu’une seule fois auparavant, AcidRain étant utilisé comme précurseur d’une invasion militaire active.
Ils continuèrent :
La deuxième particularité est que cette campagne s’est limitée à une ASN particulière. La plupart des campagnes précédentes que nous avons vues ciblent un modèle de routeur spécifique ou une vulnérabilité commune et ont des effets sur les réseaux de plusieurs fournisseurs. Dans ce cas, nous avons observé que les appareils Sagemcom et ActionTec ont été touchés en même temps, tous deux au sein du réseau du même fournisseur. Cela nous a amené à évaluer que cela n’était pas le résultat d’une mise à jour défectueuse du firmware par un seul fabricant, ce qui serait normalement le cas. limité à un ou plusieurs modèles d’appareil d’une entreprise donnée. Notre analyse des données Censys montre que l’impact ne concernait que les deux en question. Cette combinaison de facteurs nous a amenés à conclure que l’événement était probablement une action délibérée prise par un cyberacteur malveillant non attribué, même si nous n’avons pas pu récupérer le module destructeur.
Sans aucune idée claire de la manière dont les routeurs ont été infectés, les chercheurs ne peuvent que proposer les conseils génériques habituels pour protéger ces appareils contre les logiciels malveillants. Cela inclut l’installation de mises à jour de sécurité, le remplacement des mots de passe par défaut par des mots de passe forts et un redémarrage régulier. Les FAI et autres organisations qui gèrent des routeurs doivent suivre des conseils supplémentaires pour sécuriser les interfaces de gestion permettant d’administrer les appareils.
Le rapport de jeudi comprend des adresses IP, des noms de domaine et d’autres indicateurs que les utilisateurs peuvent utiliser pour déterminer si leurs appareils ont été ciblés ou compromis lors des attaques.