WTF ?! Les cybercriminels peuvent causer des dommages durables aux routeurs Internet protégés par des informations d’identification faibles en exploitant les bonnes fonctionnalités d’accès à distance. Les chercheurs de Black Lotus ont découvert un tel événement « destructeur » en octobre dernier qui a détruit des centaines de milliers de routeurs.
Les analystes de Black Lotus Labs ont surnommé le cyber-incident « l’éclipse de citrouille », car il a été ressenti dans plusieurs États du Midwest à la fin du mois d’octobre de l’année dernière. Entre le 25 et le 27 octobre, plus de 600 000 routeurs de petits bureaux/bureaux à domicile (SOHO) ont été mis hors ligne, incapables d’accéder à Internet.
Les criminels anonymes ont ciblé deux modèles de routeurs fabriqués par ActionTec (T3200, T3260), mais la méthode utilisée pour accéder à ces appareils est encore inconnue. Les pirates n’ont pas utilisé d’exploits ni de vulnérabilités du jour zéro, ce qui suggère qu’ils ont utilisé la force brute pour attaquer des informations d’authentification faibles ou qu’ils ont peut-être pénétré via une interface administrative exposée.
Une fois sur place, les cybercriminels ont utilisé un cheval de Troie d’accès à distance (RAT) bien connu nommé Chalubo pour télécharger et installer un firmware malveillant sur les routeurs compromis. Le firmware a rendu les appareils SOHO « définitivement inutilisables », obligeant le FAI à les remplacer pour restaurer la connectivité Internet. Les chercheurs en sécurité connaissent le Chalubo RAT depuis 2018. Le malware possède des fonctionnalités avancées telles que des communications cryptées, des capacités DDoS et l’exécution de scripts Lua personnalisés.
Black Lotus n’a pas divulgué le nom du fournisseur, mais l’incident est en corrélation avec une panne Internet généralisée subie par les clients du FAI Windstream basé en Arkansas. Windstream et le FBI ont refusé de fournir toute déclaration sur l’incident, bien qu’il s’agisse d’une cyber-attaque « très préoccupante » dont les motivations sont inconnues.
Une partie importante du service Internet de Windstream couvre les communautés rurales ou mal desservies où la connectivité Internet est utilisée pour se connecter aux services d’urgence, surveiller les cultures à distance ou gérer les applications de soins de santé. Quelques utilisateurs de Windstream Reddit ont révélé publiquement qu’ils avaient subi une étrange panne d’Internet, l’incident ayant commencé vers le 25 octobre.
Les cybercriminels n’étaient pas intéressés à exploiter les routeurs infectés pour gérer une puissante attaque DDoS. Black Lotus n’a observé aucune activité « chevauchement » de la part de groupes d’États-nations connus lors de l’incident de Pumpkin Eclipse, ce qui signifie que les criminels inconnus ont simplement décidé de tout détruire pour des raisons que personne n’a encore pu expliquer.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
