IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un mystérieux logiciel malveillant détruit en trois jours plus de 600 000 routeurs et oblige le FAI à tous les remplacer,
L'attaquant a écrasé de façon permanente le micrologiciel des routeurs affectés

Le , par Mathis Lucas

2PARTAGES

6  0 
Un fournisseur d'accès à Internet (FAI) américain non spécifié a subi une cyberattaque dévastatrice fin octobre 2023. Un mystérieux logiciel malveillant a détruit plus de 600 000 routeurs, coupant l'accès à Internet des clients de ce FAI dans 18 États américains. Les données suggèrent qu'il s'agit du FAI Windstream. L'auteur de l'attaque reste inconnu, mais les experts en cybersécurité de Black Lotus Labs pensent qu'il s'agit potentiellement d'une attaque d'un État-nation. Plusieurs modèles de routeurs ont été ciblés et le FAI affecté aurait subi une réduction de 49 % du nombre de routeurs en état de fonctionnement à la suite de l'attaque.

La cyberattaque qui a potentiellement frappé Windstream se serait produite sur une période de 72 heures allant du 25 au 27 octobre 2023. Dans un premier temps, de nombreux clients ont accusé l'entreprise d'être à l'origine de cette panne généralisée par le biais à travers une mise à jour boguée qui a endommagé les appareils. Mais il est apparu par la suite qu'il se passait quelque chose de très différent après que les routeurs eurent cessé de répondre aux redémarrages et autres tentatives de remise en état de marche. Le FAI n'aurait pas eu d'autres choix que de remplacer les 600 000 routeurs détruits par l'attaque.

Le FAI n'avait pas été signalé à l'époque. Jeudi, la division Black Lotus Labs de Lumen Technologies a publié un rapport détaillé sur une attaque, baptisée "Pumpkin Eclipse", bien qu'il reste encore de nombreuses zones d'ombres à éclaircir. L'équipe de recherche de Black Lotus Labs n'a pas mentionné le FAI concerné, mais la situation décrite dans le rapport correspond à l'incident de masse signalé par les abonnés de Windstream et à la période à laquelle ils ont fait part de leurs commentaires sur les forums. L'équipe indique que tous les routeurs appartenaient à un seul FAI et "tous ont été rendus définitivement inopérants".


« L'attaque a rendu les appareils infectés définitivement inopérants et a nécessité un remplacement matériel », ont rapporté les chercheurs de Black Lotus Labs. Le laboratoire indique que les routeurs ont été détruits par un acteur inconnu dont les motivations sont tout aussi inconnues. Selon le rapport, l'attaquant a pris des mesures délibérées pour effacer ses traces en utilisant un logiciel malveillant de base connu sous le nom de Chalubo, plutôt qu'une boîte à outils développée sur mesure. Une fonction intégrée à Chalubo a permis à l'attaquant d'exécuter des scripts Lua personnalisés sur les appareils infectés.

Les chercheurs pensent que le logiciel malveillant a téléchargé et exécuté un code qui a écrasé de façon permanente le micrologiciel des routeurs affectés. Ils ont déclaré : « nous estimons avec une grande confiance que la mise à jour malveillant du micrologiciel était un acte délibéré visant à provoquer une panne, et bien que nous nous attendions à voir un certain nombre de marques et de modèles de routeurs affectés sur Internet, cet événement s'est limité à l'unique numéro de système autonome (ASN) ». L'équipe a souligné "la portée dévastatrice" de cette attaque qui a coupé soudainement les connexions d'autant d'appareils :

Citation Envoyé par Black Lotus Labs

Les attaques destructrices de cette nature sont très préoccupantes, surtout dans ce cas. Une grande partie de la zone de service de ce FAI couvre des communautés rurales ou mal desservies, des endroits où les habitants peuvent avoir perdu l'accès aux services d'urgence, où les exploitations agricoles peuvent avoir perdu des informations essentielles provenant de la surveillance à distance des cultures pendant la récolte, et où les prestataires de soins de santé sont coupés de la télésanté ou des dossiers de leurs patients. Il va sans dire que le rétablissement après une interruption de la chaîne d'approvisionnement prend plus de temps dans les communautés isolées ou vulnérables.
Le maliciel Chalubo existe depuis 2018 et dispose de fonctions intégrées pour chiffrer les communications avec le serveur de commande et de contrôle, effectuer des attaques par déni de service distribué (DDoS) et exécuter des scripts Lua sur les appareils infectés. Il n'y a pas beaucoup de précédents connus de logiciels malveillants qui effacent le micrologiciel des routeurs affectés de la manière dont Black Lotus Labs a été témoin. L'incident le plus récent est peut-être la découverte en 2022 d'AcidRain, nom donné à un maliciel qui a mis hors service environ 10 000 routeurs du fournisseur d'accès à Internet par satellite Viasat.


La panne, qui a touché l'Ukraine et d'autres parties de l'Europe, a coïncidé avec l'invasion par la Russie du petit pays voisin. Black Lotus Labs n'a pas pu attribuer l'attaque à un acteur spécifique de la menace et d'autres questions restent sans réponses. « À l'heure actuelle, il n'y a pas de chevauchement entre cette activité et des groupes d'activités connus d'États-nations », indique le rapport. Plus précisément, il n'y a pas de chevauchement avec Volt Typhoon de la Chine, qui a aussi l'habitude d'infecter les routeurs, ni avec Sandworm de la Russie, alias SeaShell Blizzard, un autre groupe connu pour ses attaques destructrices.

L'enquête de Black Lotus Labs révèle qu'un ASN spécifique avait connu une baisse de 49 % de ces modèles juste au moment où les rapports ont commencé. Cela correspondait à la déconnexion d'au moins 179 000 routeurs ActionTec et de plus de 480 000 routeurs vendus par Sagemcom. Bien que les chercheurs aient déjà analysé des attaques contre des routeurs domestiques et de petites entreprises, ils ont indiqué que deux éléments distinguaient cette dernière attaque :

Citation Envoyé par Black Lotus Labs

Tout d'abord, cette campagne a entraîné un remplacement matériel des appareils concernés, ce qui indique probablement que l'attaquant a corrompu le micrologiciel de certains modèles. L'incident était sans précédent en raison du nombre d'unités affectées - aucune attaque, à notre connaissance, n'a nécessité le remplacement de plus de 600 000 appareils. En outre, ce type d'attaque ne s'est produit qu'une seule fois auparavant, AcidRain ayant été utilisé comme précurseur d'une invasion militaire active.

Le deuxième aspect unique est que cette campagne s'est limitée à un ASN spécifique. La plupart des campagnes précédentes que nous avons vues ciblaient un modèle de routeur spécifique ou une vulnérabilité commune et avaient des effets sur les réseaux de plusieurs fournisseurs. Dans le cas présent, nous avons observé que les appareils Sagemcom et ActionTec ont été touchés en même temps, tous deux au sein du réseau du même fournisseur.

Cela nous a permis de déterminer qu'il ne s'agissait pas d'une mise à jour défectueuse du micrologiciel d'un seul fabricant, qui se limiterait normalement à un ou plusieurs modèles d'appareils d'une société donnée. Notre analyse des données Censys montre que l'impact n'a concerné que les deux appareils en question.

Cette combinaison de facteurs nous a amenés à conclure que l'événement était probablement une action délibérée menée par un acteur malveillant non identifié, même si nous n'avons pas été en mesure de récupérer le module destructeur.
Un représentant de Black Lotus Labs a déclaré à Ars que l'équipe ne pouvait pas exclure qu'un État-nation soit à l'origine de cet incident. Selon l'équipe, il est possible que l'auteur de la menace ait exploité une vulnérabilité, bien qu'elle affirme ne pas avoir connaissance de vulnérabilités connues dans les routeurs affectés. Il est également possible que l'auteur de la menace ait abusé de mots de passe faibles ou qu'il ait accédé à une plateforme d'administration exposée.

La victime de cette cyberattaque dévastatrice serait Windstream, basé à Little Rock dans l'Arkansas, mais l'entreprise a refusé de faire des commentaires sur le rapport de Black Lotus Labs et l'incident. Toutefois, les détails du rapport correspondent presque parfaitement aux dysfonctionnements signalés par les abonnés de Windstream. Il s'agit en particulier de la date à laquelle l'incident de masse a commencé, des modèles de routeurs concernés, de la description du FAI, etc.

Source : rapport des chercheurs de Black Lotus Labs

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'ampleur de la cyberattaque qui a probablement frappé Windstream ?
Quels pourraient être les impacts de telles cyberattaques foudroyantes dans la vie quotidienne ?

Voir aussi

Les routeurs d'occasion sont souvent chargés de secrets d'entreprise et constituent une porte ouverte aux cyberattaques, selon ESET

Un micrologiciel dissimulé permet à des pirates affiliés à l'État chinois de contrôler les routeurs à l'aide de "paquets magiques", selon un avis conjoint publié par les États-Unis et le Japon

Des scientifiques deviennent étrangement doués pour utiliser le Wi-Fi afin de "voir" les personnes en détail à travers les murs, ils utilisent les signaux Wi-Fi pour cartographier le corps humain

Une erreur dans cette actualité ? Signalez-nous-la !