Un fournisseur d'accès à Internet (FAI) américain non spécifié a subi une cyberattaque dévastatrice fin octobre 2023. Un mystérieux logiciel malveillant a détruit plus de 600 000 routeurs, coupant l'accès à Internet des clients de ce FAI dans 18 États américains. Les données suggèrent qu'il s'agit du FAI Windstream. L'auteur de l'attaque reste inconnu, mais les experts en cybersécurité de Black Lotus Labs pensent qu'il s'agit potentiellement d'une attaque d'un État-nation. Plusieurs modèles de routeurs ont été ciblés et le FAI affecté aurait subi une réduction de 49 % du nombre de routeurs en état de fonctionnement à la suite de l'attaque.La cyberattaque qui a potentiellement frappé Windstream se serait produite sur une période de 72 heures allant du 25 au 27 octobre 2023. Dans un premier temps, de nombreux clients ont accusé l'entreprise d'être à l'origine de cette panne généralisée par le biais à travers une mise à jour boguée qui a endommagé les appareils. Mais il est apparu par la suite qu'il se passait quelque chose de très différent après que les routeurs eurent cessé de répondre aux redémarrages et autres tentatives de remise en état de marche. Le FAI n'aurait pas eu d'autres choix que de remplacer les 600 000 routeurs détruits par l'attaque.
Le FAI n'avait pas été signalé à l'époque. Jeudi, la division Black Lotus Labs de Lumen Technologies a publié un rapport détaillé sur une attaque, baptisée "Pumpkin Eclipse", bien qu'il reste encore de nombreuses zones d'ombres à éclaircir. L'équipe de recherche de Black Lotus Labs n'a pas mentionné le FAI concerné, mais la situation décrite dans le rapport correspond à l'incident de masse signalé par les abonnés de Windstream et à la période à laquelle ils ont fait part de leurs commentaires sur les forums. L'équipe indique que tous les routeurs appartenaient à un seul FAI et "tous ont été rendus définitivement inopérants".
« L'attaque a rendu les appareils infectés définitivement inopérants et a nécessité un remplacement matériel », ont rapporté les chercheurs de Black Lotus Labs. Le laboratoire indique que les routeurs ont été détruits par un acteur inconnu dont les motivations sont tout aussi inconnues. Selon le rapport, l'attaquant a pris des mesures délibérées pour effacer ses traces en utilisant un logiciel malveillant de base connu sous le nom de Chalubo, plutôt qu'une boîte à outils développée sur mesure. Une fonction intégrée à Chalubo a permis à l'attaquant d'exécuter des scripts Lua personnalisés sur les appareils infectés.
Les chercheurs pensent que le logiciel malveillant a téléchargé et exécuté un code qui a écrasé de façon permanente le micrologiciel des routeurs affectés. Ils ont déclaré : « nous estimons avec une grande confiance que la mise à jour malveillant du micrologiciel était un acte délibéré visant à provoquer une panne, et bien que nous nous attendions à voir un certain nombre de marques et de modèles de routeurs affectés sur Internet, cet événement s'est limité à l'unique numéro de système autonome (ASN) ». L'équipe a souligné "la portée dévastatrice" de cette attaque qui a coupé soudainement les connexions d'autant d'appareils :
Envoyé par Black Lotus Labs
Les attaques destructrices de cette nature sont très préoccupantes, surtout dans ce cas. Une grande partie de la zone de service de ce FAI couvre des communautés rurales ou mal desservies, des endroits où les habitants peuvent avoir perdu l'accès aux services d'urgence, où les exploitations agricoles peuvent avoir perdu des informations essentielles provenant de la surveillance à distance des cultures pendant la récolte, et où les prestataires de soins de santé sont coupés de la télésanté ou des dossiers de leurs patients. Il va sans dire que le rétablissement après une interruption de la chaîne d'approvisionnement prend plus de temps dans les communautés isolées ou vulnérables.
La panne, qui a touché l'Ukraine et d'autres parties de l'Europe, a coïncidé avec l'invasion par la Russie du petit pays voisin. Black Lotus Labs n'a pas pu attribuer l'attaque à un acteur spécifique de la menace et d'autres questions restent sans réponses. « À l'heure actuelle, il n'y a pas de chevauchement entre cette activité et des groupes d'activités connus d'États-nations », indique le rapport. Plus précisément, il n'y a pas de chevauchement avec Volt Typhoon de la Chine, qui a aussi l'habitude d'infecter les routeurs, ni avec Sandworm de la Russie, alias SeaShell Blizzard, un autre groupe connu pour ses attaques destructrices.
L'enquête de Black Lotus Labs révèle qu'un ASN spécifique avait connu une baisse de 49 % de ces modèles juste au moment où les rapports ont commencé. Cela correspondait à la déconnexion d'au moins 179 000 routeurs ActionTec et de plus de 480 000 routeurs vendus par Sagemcom. Bien que les chercheurs aient déjà analysé des attaques contre des routeurs domestiques et de petites entreprises, ils ont indiqué que deux éléments distinguaient cette dernière attaque :
Envoyé par Black Lotus Labs
Tout d'abord, cette campagne a entraîné un remplacement matériel des appareils concernés, ce qui indique probablement que l'attaquant a corrompu le micrologiciel de certains modèles. L'incident était sans précédent en raison du nombre d'unités affectées - aucune attaque, à notre connaissance, n'a nécessité le remplacement de plus de 600 000 appareils. En outre, ce type d'attaque ne s'est produit qu'une seule fois auparavant, AcidRain ayant été utilisé comme précurseur d'une invasion militaire active.
Le deuxième aspect unique est que cette campagne s'est limitée à un ASN spécifique. La plupart des campagnes précédentes que nous avons vues ciblaient un modèle de routeur spécifique ou une vulnérabilité commune et avaient des effets sur les réseaux de plusieurs fournisseurs. Dans le cas présent, nous avons observé que les appareils Sagemcom et ActionTec ont été touchés en même temps, tous deux au sein du réseau du même fournisseur.
Cela nous a permis de déterminer qu'il ne s'agissait pas d'une mise à jour défectueuse du micrologiciel d'un seul fabricant, qui se limiterait normalement à un ou plusieurs modèles d'appareils d'une société donnée. Notre analyse des données Censys montre que l'impact n'a concerné que les deux appareils en question.
Cette combinaison de facteurs nous a amenés à conclure que l'événement était probablement une action délibérée menée par un acteur malveillant non identifié, même si nous n'avons pas été en mesure de récupérer le module destructeur.
La victime de cette cyberattaque dévastatrice serait Windstream, basé à Little Rock dans l'Arkansas, mais l'entreprise a refusé de faire des commentaires sur le rapport de Black Lotus Labs et l'incident. Toutefois, les détails du rapport correspondent presque parfaitement aux dysfonctionnements signalés par les abonnés de Windstream. Il s'agit en particulier de la date à laquelle l'incident de masse a commencé, des modèles de routeurs concernés, de la description du FAI, etc.
Source : rapport des chercheurs de Black Lotus Labs
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de l'ampleur de la cyberattaque qui a probablement frappé Windstream ? Quels pourraient être les impacts de telles cyberattaques foudroyantes dans la vie quotidienne ?Voir aussi
Les routeurs d'occasion sont souvent chargés de secrets d'entreprise et constituent une porte ouverte aux cyberattaques, selon ESET Un micrologiciel dissimulé permet à des pirates affiliés à l'État chinois de contrôler les routeurs à l'aide de "paquets magiques", selon un avis conjoint publié par les États-Unis et le Japon Des scientifiques deviennent étrangement doués pour utiliser le Wi-Fi afin de "voir" les personnes en détail à travers les murs, ils utilisent les signaux Wi-Fi pour cartographier le corps humain