Вредоносное ПО заблокировало за 72 часа 600 тыс. маршрутизаторов клиентов одного интернет-провайдера в США
Эксперты из Black Lotus Labs раскрыли технические детали сетевого инцидента по ИБ, произошедшего в октябре 2023 года. Хакерская атака с помощью вредоносного ПО заблокировала за 72 часа 600 тыс. клиентских маршрутизаторов (в основном модели Wi-Fi роутеров ActionTec T3200 и ActionTec T3260, а также Sagemcom) клиентов американского интернет-провайдера Windstream. По оценке экспертов, атака затронула около 49% сетевых устройств компании, который были установлены в домовладениях пользователей на среднем западе США.
Кибератака на домашнее оборудование провайдера произошла в период с 25 по 27 октября 2023 года. Примечательно, что официально Windstream не признала сбой в работе своих сервисов, несмотря на то, что сотни тысяч маршрутизаторов компании оказались неработоспособными. Пользователи сообщили, что в компании решили проблему только путём физической замены затронутых клиентских устройств. В Black Lotus Labs назвали этот сетевой инцидент Pumpkin Eclipse («Тыквенным затмением»).
Вредоносный пакет прошивки, который удалил части рабочего кода на затронутых маршрутизаторах, был идентифицирован экспертами как Chalubo, стандартный троян удаленного доступа. Неясно, как прошивка была отправлена клиентам — посредством неизвестного эксплойта, слабых учетных данных (паролей по умолчанию или инженерных паролей) или доступа к инструментам администрирования. Также непонятно, какая группировка стояла за атакой, которую исследователи назвали «преднамеренным действием, направленным на то, чтобы вызвать глобальный сбой». У многих клиентов после этой атаки перестали работать домашние телефоны и на некоторое время прервался контакт с внешним миром, так как они находятся вдалеке от зон работы сотовой сети.
Фактически неизвестный злоумышленник со
Читать на habr.com
