Aux États-Unis, plus de 600 000 routeurs détruits par une mystérieuse cyberattaque

Aux États-Unis, plus de 600 000 routeurs de petits bureaux/bureaux à domicile (SOHO) ont été rendus inutilisables lors d'une cyberattaque menée par des attaquants inconnus, perturbant l'accès à Internet pour de nombreux utilisateurs. Cet événement marquant, survenu entre le 25 et le 27 octobre 2023, a été surnommé « Pumpkin Eclipse » par l’équipe Black Lotus Labs de Lumen Technologies. L'attaque ciblait trois modèles de routeurs spécifiques : ActionTec T3200, ActionTec T3260 et Sagemcom, fournis par un fournisseur d'accès Internet (FAI) non divulgué.

Au cours de la période d'attaque de 72 heures, les routeurs compromis ont été définitivement endommagés, nécessitant le remplacement du matériel. Cet incident a entraîné la perte de 49 % de tous les modems associés au numéro de système autonome (ASN) du FAI. Bien que l'identité du FAI n'ait pas été officiellement confirmée, Windstream est suspecté en raison d'une panne correspondante et de rapports d'utilisateurs faisant état de modems concernés affichant un « feu rouge fixe ».

L'enquête ultérieure de Lumen a identifié le cheval de Troie d'accès à distance (RAT) appelé Chalubo comme le coupable de l'attaque. Chalubo, remarqué pour la première fois par Sophos en octobre 2018, est connu pour sa capacité à cibler une variété de noyaux SOHO/IoT, à effectuer des attaques DDoS et à exécuter des scripts Lua. Il semble que les attaquants aient utilisé Chalubo pour compliquer l'attribution, plutôt que d'utiliser un outil personnalisé. La méthode exacte utilisée pour obtenir l’accès initial aux routeurs reste floue, même si elle peut impliquer des informations d’identification faibles ou des interfaces administratives exposées.

Une fois l'accès sécurisé, le malware a déployé des scripts shell pour télécharger et lancer Chalubo à partir d'un serveur externe, y compris un module de script Lua destructeur. L'accent mis par cette campagne sur un seul ASN est inhabituel, car la plupart des attaques ciblent des modèles de routeurs spécifiques ou des vulnérabilités communes, suggérant une cible délibérée et spécifique, même si les motivations des attaquants restent inconnues.

Lumen a souligné l'ampleur sans précédent de cette attaque, notant qu'aucun incident précédent n'a nécessité le remplacement de plus de 600 000 appareils. Un événement comparable a été l’attaque AcidRain , qui a précédé une invasion militaire active , soulignant la gravité et la nature unique de l’incident de Pumpkin Eclipse.