Един ден през октомври миналата година абонатите на американския доставчик на интернет услуги, известен като Windstream, започват да заливат форумите със съобщения, че техните маршрутизатори внезапно са спрели да работят и не реагират на рестартиране и всички други опити за съживяване.
„Сега рутерите просто седят там с постоянна червена светлина отпред“, пише един от потребителите, визирайки моделите рутери ActionTec T3200, които Windstream е предоставил както на него, така и на съседа му. „Те дори не реагират на RESET.“
В съобщенията, които се появиха в продължение на няколко дни, считано от 25 октомври, много потребители на Windstream обвиниха доставчика на интернет услуги за масовото блокиране на рутерите. Те твърдят, че това е станало, тъй като компанията е пуснала актуализации, които са отровили устройствата. Широколентовата услуга Kinetic на Windstream има около 1.6 милиона абонати в 18 щата, включително Айова, Алабама, Арканзас, Джорджия и Кентъки. За много от клиентите Kinetic осигурява основна връзка с външния свят.
След като в крайна сметка установи, че рутерите са трайно неизползваеми, Windstream изпрати нови устройства на засегнатите клиенти.
Доклад, публикуван в миналия четвъртък от Black Lotus Labs на компанията за сигурност Lumen Technologies, може да хвърли нова светлина върху инцидента, който Windstream все още не е обяснила. Изследователите от Black Lotus Labs твърдят, че за 72 часа, започнали на 25 октомври, зловреден софтуер е извадил от строя над 600 000 рутера, свързани с един-единствен номер на автономна система или ASN, принадлежащ на неназован доставчик на интернет услуги.
Въпреки че изследователите не идентифицират интернет доставчика, данните, които съобщават, съвпадат почти напълно с тези, описани в съобщенията от октомври от абонати на Windstream. По-конкретно датата, на която е започнало масовото блокиране, засегнатите модели рутери, описанието на интернет доставчика и показването на статична червена светлина от излезлите от строя маршрутизатори ActionTec.
Според Black Lotus Labs рутерите - по консервативна оценка минимум 600 000 - са били извадени от строя от неизвестен участник в заплаха със също толкова неизвестни мотиви. Той е предприел умишлени стъпки за прикриване на следите, като е използвал стоков зловреден софтуер, известен като Chalubo, а не специално разработен набор от инструменти. Вградената в Chalubo функция е позволила на извършителя да изпълнява персонализирани Lua скриптове на заразените устройства. Изследователите смятат, че зловредният софтуер е изтеглил и изпълнил код, който трайно е презаписал фърмуера на рутера.
Изследователите все още не са определили първоначалния начин на заразяване на маршрутизаторите. Възможно е участниците в заплахата да са използвали уязвимост, въпреки че изследователите заявиха, че не знаят за никакви известни уязвимости в засегнатите маршрутизатори. Други възможности са извършителят на заплахата да е злоупотребил със слаби идентификационни данни или да е получил достъп до открит административен панел.
Снимка: Unsplash
Виж още: Портата към подземния свят в сърцето на Сибир расте с тревожни размери всяка година