On estime que plus de 600 000 routeurs de petits bureaux/bureaux à domicile (SOHO) ont été briqués et mis hors ligne à la suite d’une cyberattaque destructrice organisée par des cyberacteurs non identifiés, perturbant l’accès des utilisateurs à Internet.

Le mystérieux événement, qui s’est produit entre le 25 et le 27 octobre 2023 et a touché un seul fournisseur d’accès Internet (FAI) aux États-Unis, a été baptisé Pumpkin Eclipse par l’équipe Black Lotus Labs de Lumen Technologies. Cela concernait spécifiquement trois modèles de routeurs émis par le FAI : ActionTec T3200, ActionTec T3260 et Sagemcom.

“L’incident s’est produit sur une période de 72 heures entre le 25 et le 27 octobre, a rendu les appareils infectés définitivement inutilisables et a nécessité un remplacement matériel”, a indiqué la société dans un rapport technique.

La panne est importante, notamment parce qu’elle a conduit au retrait brutal de 49 % de tous les modems du numéro de système autonome (ASN) du FAI concerné au cours de cette période.

Bien que le nom du FAI n’ait pas été divulgué, des preuves indiquent qu’il s’agit de Windstream, qui a subi une panne à peu près au même moment, ce qui a amené les utilisateurs à signaler un « feu rouge fixe » affiché par les modems concernés.

Aujourd’hui, quelques mois plus tard, l’analyse de Lumen a révélé qu’un cheval de Troie d’accès à distance (RAT) appelé Chalubo – un logiciel malveillant furtif documenté pour la première fois par Sophos en octobre 2018 – était responsable du sabotage, l’adversaire ayant opté pour lui, probablement dans le but de compliquer l’attribution. efforts plutôt que d’utiliser une boîte à outils personnalisée.

“Chalubo dispose de charges utiles conçues pour tous les principaux noyaux SOHO/IoT, de fonctionnalités prédéfinies pour effectuer des attaques DDoS et peut exécuter n’importe quel script Lua envoyé au bot”, a déclaré la société. “Nous soupçonnons que la fonctionnalité Lua a probablement été utilisée par l’acteur malveillant pour récupérer la charge utile destructrice.”

Cela dit, la méthode d’accès initiale exacte utilisée pour pirater les routeurs n’est actuellement pas claire, bien qu’il soit théorisé qu’elle puisse impliquer l’abus d’informations d’identification faibles ou l’exploitation d’une interface administrative exposée.

Après avoir réussi à s’implanter, la chaîne d’infection abandonne les scripts shell qui ouvrent la voie à un chargeur finalement conçu pour récupérer et lancer Chalubo à partir d’un serveur externe. Le module de script Lua destructeur récupéré par le cheval de Troie est inconnu.

Un aspect notable de la campagne est le ciblage d’un seul ASN, par opposition à d’autres qui ciblent généralement un modèle de routeur spécifique ou une vulnérabilité commune, ce qui laisse penser qu’il a été délibérément ciblé, bien que les motivations sous-jacentes soient encore indéterminées.

« L’événement était sans précédent en raison du nombre d’unités touchées – aucune attaque dont nous nous souvenons n’a nécessité le remplacement de plus de 600 000 appareils », a déclaré Lumen. “De plus, ce type d’attaque ne s’est produit qu’une seule fois auparavant, AcidRain étant utilisé comme précurseur d’une invasion militaire active.”