Um malware de origem não identificada foi o responsável por inutilizar cerca de 600 mil roteadores de um único provedor dos Estados Unidos, em outubro de 2023. Sem acesso à internet, os consumidores não tiveram outra opção a não ser substituir os equipamentos.
O evento foi identificado pelos pesquisadores de cibersegurança da Black Lotus Labs, que pertence à empresa Lumen. Segundo os especialistas, três modelos de roteadores foram “brickados”: ActionTec T3200S, ActionTec T3260S e Sagemcom F5380. O ataque aconteceu entre 24 e 27 de outubro de 2023 e ficou conhecido como Pumpkin Eclipse, pela proximidade com o eclipse solar ocorrido no mesmo mês e a tradicional festa de Halloween.
A Black Lotus Labs diz apenas que o ataque teve como alvo equipamentos de um único provedor, sem o nomear. Segundo o Ars Técnicaa descrição dos eventos bate com relatos de clientes da Windstream, que atende principalmente estados do Meio-Oeste dos EUA. Os consumidores reclamaram em fóruns online e no Reddit, suspeitando de problemas nas atualizações automáticas dos roteadores. Segundo as publicações, a conexão caiu e uma luz vermelha permaneceu acesa.
Motivação do malware é desconhecida
Curiosamente, pouco se sabe sobre o Pumpkin Eclipse. Os pesquisadores da Black Lotus Labs não encontraram a vulnerabilidade que possibilitou a ação, o que indica que os atacantes usaram uma falha “zero-day” ainda não detectada ou obtiveram credenciais para acessar uma interface administrativa.
Os responsáveis pela botnet usaram dois scripts para instalar um malware conhecido como Chalubo. A Black Lotus Labs acredita que o programa foi usado para apagar completamente o firmware dos roteadores. O payload em si não foi encontrado, o que impede determinar exatamente como isso aconteceu.
O Chalubo pode ser usado em ataques distribuídos de negação de serviço (DDoS), mas nenhum comportamento deste tipo foi observado. Também não se sabe por que a ação teve apenas um provedor como alvo. Geralmente, os agentes mal-intencionados miram um ou mais modelos de roteadores, mesmo que eles estejam sendo usados por várias empresas.
Segundo os especialistas, há poucos registros de ataques com estas características. Um deles, que ficou conhecido como AcidRain, aconteceu em 2022, quando cerca de 10 mil modems da Viasat foram desativados. O problema afetou principalmente a Ucrânia, e acredita-se que foi uma ação da Rússia antes da invasão.
Com informações: Ars Técnica, Computador bipando