Un « malware misterioso » a détruit plus d’un demi-million de routeurs en moins de 72 heures, provoquant le chaos dans l’infrastructure d’une importante entreprise de services Internet (ISP). La situation a affecté Windstream, une entreprise américaine, en octobre de l’année dernière. Les détails ont récemment été révélés grâce à la publication d’un rapport par la société de sécurité Lumen Technologies Black Lotus Lab. Ce document détaille tout ce qui s’est passé le 25 octobre 2023, où plus d’un demi-million de routeurs sont devenus totalement inopérants lors d’un événement qualifié de catastrophique.
Cette attaque informatique a laissé des centaines de milliers d’utilisateurs sans connexion Internet et a généré une alarme significative parmi les experts en sécurité informatique. La sophistication et la rapidité de l’attaque ont été une source de préoccupation, car elles témoignent d’un niveau de coordination et de précision sans précédent. Les premières enquêtes suggèrent que le malware a été spécifiquement conçu pour exploiter des vulnérabilités dans les appareils du réseau de l’ISP affectée.
Impact dévastateur sur l’infrastructure après la destruction de 600 000 routeurs en quelques heures
En l’espace de 72 heures, le malware a réussi à rendre inopérants environ 600 000 routeurs, ce qui représente une fraction considérable des appareils opérationnels dans le réseau de l’ISP. Ce niveau de destruction est inhabituel et a entraîné une réaction rapide des autorités et des experts en sécurité. L’ISP affectée coopère étroitement avec les équipes d’intervention en cas d’incident et les entreprises de cybersécurité pour atténuer les dommages.
Les enquêtes se poursuivent pour identifier l’origine et le but exact du malware. Bien que les personnes responsables de cette attaque n’aient pas encore été identifiées, la nature coordonnée de l’attaque suggère la possibilité d’une opération soutenue par un État ou un groupe criminel organisé. Les experts analysent des échantillons du malware pour comprendre son fonctionnement et développer des contre-mesures efficaces.
Simulation de la façon dont le malware Chalubo a écrasé le firmware des routeurs affectés / Image : Lumen Technologies Black Lotus Labs
Parmi les routeurs touchés, on retrouve respectivement 179 000 et 480 000 modèles d’ActionTec et de Sagemcom. L’étendue des dégâts infligés signifie que le processus de récupération a été complexe et long. De plus, pour effacer les traces de l’attaque, un malware connu sous le nom de « Chalubo » a été utilisé pour déclencher des scripts qui ont écrasé le firmware du routeur.
Le pire dans toute cette situation est que on ignore complètement comment cette infection massive a pu se produire. Les chercheurs indiquent qu’il reste encore beaucoup de travail à faire pour déterminer comment cela s’est déroulé en raison de l’ignorance des vulnérabilités de ces routeurs affectés.