600 mila router di un fornitore di connettività KO in 3 giorni: è mistero sulla causa

Ad ottobre del 2023 si è verificato un incidente di sicurezza senza precedenti: 600 mila router di un singolo fornitore di servizi sono stati resi inservibili da un attacco hacker. Non sono note al momento le ragioni dell'attacco
di Andrea Bai pubblicata il 31 Maggio 2024, alle 12:31 nel canale SicurezzaA partire dal 25 ottobre dello scorso anno, un evento senza precedenti ha turbato il mondo delle telecomunicazioni. Per circa tre giorni gli abbonati di Windstream, un fornitore di servizi di connettività statunitense che conta circa 1,6 milioni di abbonati in 18 stati, tra cui Iowa, Alabama, Arkansas, Georgia e Kentucky, hanno iniziato a segnalare un'ondata di guasti improvvisi nei loro router domestici, con i dispositivi che smettevano completamente di funzionare senza rispondere ad alcun tentativo di riavvio o ripristino.
Le segnalazioni, inizialmente frammentate, si sono presto trasformate in una valanga di lamentele sui forum online, con gli utenti che denunciavano il misterioso malfunzionamento dei loro router. I modelli interessati erano i router ActionTec T3200, forniti dall'ISP ai suoi abbonati. L'impatto è risultato essere significativo, con molti utenti che lamentavano perdite economiche a causa dell'interruzione della connessione Internet, essenziale per il loro lavoro e le loro attività.
Una situazione di questo tipo ha portato rapidamente gli utenti a credere che la responsabilità dell'accaduto fosse della stessa Windstream, ipotizzando un'operazione di aggiornamento non andata a buon fine. I router sono poi risultati essere definitivamente inutilizzabili, e Windstream non ha avuto altra scelta che inviare nuovi dispositivi ai clienti interessati dal problema.
Black Lotus Labs, divisione di sicurezza della società Lumen Technolgies, ha pubblicato nei giorni scorsi un rapporto che sembrerebbe far luce su quanto accaduto: non si sarebbe trattato di un problema tecnico o di un'operazione maldestra, ma di un incidente di sicurezza che è stato battezzato "Pumpkin Eclipse".

Usiamo il condizionale perché nel rapporto di Black Lotus Labs si parla di un malware sconosciuto che ha messo KO oltre 600 mila router connessi ad un singolo ASN di un singolo ISP non specificato. Nonostante i ricercatori abbiano evitato di nominare esplicitamente l'ISP, i dettagli dell'accaduto corrispondono quasi perfettamente alle segnalazioni degli abbonati Windstream.
I ricercatori affermano che i router sono stati deliberatamente eliminati da un attore di minacce sconosciuto con motivazioni altrettanto oscure. L'autore ha utilizzato un malware commerciale noto come Chalubo, anziché un toolkit sviluppato su misura, allo scopo di coprire le proprie tracce. Una funzionalità integrata in Chalubo ha consentito all'autore di eseguire script Lua personalizzati sui dispositivi infetti, e i ricercatori ritengono che il malware abbia scaricato ed eseguito codice che ha sovrascritto in modo permanente il firmware dei router. "Riteniamo con elevata sicurezza che l'aggiornamento firmware dannoso sia stato un atto deliberato inteso a causare un'interruzione di servizio" si legge nel rapporto.
Il fatto che un singolo malware sia in grado di interrompere improvvisamente le connessioni di 600.000 router si porta dietro implicazioni significative: i ricercatori hanno evidenziato l'impatto potenzialmente devastante di un simile attacco, soprattutto nelle comunità rurali o sottoservite che potrebbero aver perso l'accesso ai servizi di emergenza, alle operazioni agricole critiche o alla telemedicina e alle cartelle cliniche dei pazienti. "Inutile dire che il ripristino di qualsiasi interruzione della catena di fornitura richiede più tempo nelle comunità isolate o vulnerabili", hanno sottolineato i ricercatori.
Interrogando il motore di ricerca Censys, Black Lotus Labs ha scoperto che nell'ASN specifico c'era stato un calo del 49% nei modelli di router interessati proprio quando sono iniziati i report di guasti. Ciò ha comportato la disconnessione di almeno 179.000 router ActionTec e di oltre 480.000 router venduti da Sagemcom. Mentre la connessione e disconnessione costante dei router complica il processo di tracciamento, i ricercatori hanno stimato in via prudenziale che almeno 600.000 delle disconnessioni fossero il risultato dell'infezione dei dispositivi da parte di Chalubo e della conseguente cancellazione permanente del firmware.
I ricercatori non hanno ancora potuto determinare quali siano stati i vettori di infezione iniziali, escludendo però la possibilità di un semplice aggiornamento firmware difettoso da parte di un singolo produttore, dal momento che l'attacco ha riguardato due specifici modelli di router di due produttori e ha preso di mira un singolo ISP. Tra le ipotesi vi è quella che la mano dietro l'attacco possa aver avuto la possibilità di accedere ad un pannello di amministrazione esposto su Internet o protetto da credenziali deboli.
Un rappresentante di Black Lotus Labs ha affermato che i ricercatori non possono escludere il coinvolgimento di uno stato-nazione nell'incidente, anche se al momento non vi sono elementi che possano indicare una sovrapposizione tra l'incidente Pumpkin Eclipse e l'attività di gruppi noti sponsorizzati da stati-nazioni. Inoltre non vi sono molti precedenti noti di malware che cancellano i router in massa nel modo osservato dai ricercatori, e l'evento più simile a questo è quello accaduto nel corso del 2022 con AcidRain, il malware che ha messo fuori uso 10.000 modem per il provider Internet satellitare Viasat durante l'invasione russa dell'Ucraina.
In ogni caso i contorni dell'incidente indicano che si sia trattato di un'azione deliberata intrapresa da un cybercriminale ignoto, le cui ragioni e gli scopi effettivi sono, al momento, ancora impossibili da ricostruire.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSpesso ci si ritrova con un modem/router vecchio o non aggiornabile,magari ancora da finire di pagare, comodamente con delle piccole rate in bolletta.
Se vai via prima dal gestore,ti fanno pagare a caro prezzo il modem/router che si resterà a te ma che è spazzatura.
Qualche ente dovrebbe un attimo rimettere in riga i provider.
Potrebbe essere stato compromesso il server ACS utilizzato dai router per la telegestione (protocollo TR-069), una versione dolosa e più grave del casino fatto da Telecom Italia qualche anno fa, che aveva fatto perdere le configurazioni della parte LAN a tutti i router Frtz!box:
https://www.hwupgrade.it/news/web/tim-ha-resettato-senza-avvisare-il-router-fritzbox-7590-facendo-infuriare-gli-utenti-ecco-cosa-e-successo_99310.html
mi sono perso già a questo punto
e vaff tutto il resto
già il solo leggere tr-069 mi fa venire l'orticaria
hanno preso di mira una sola e specifica porzione di internet, appartenente al provider XYZ
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".