Tavaly októberben a Windstream nevű internetszolgáltató előfizetői tömeges routerhiba problémába keveredtek, amely 18 amerikai államban mintegy 600 000 eszközt érintett.
Kezdetben sok ügyfél a vállalatot hibáztatta a széles körű rendszerleállásért, de később kiderült, hogy valami egészen más történt, miután a készülékek nem reagáltak az újraindításokra és más, a működőképesség helyreállítására tett kísérletekre.
A felhasználók összegyűltek az online üzenőfalakon, hogy levezessék a dühüket és kifejezzék saját tapasztalataikat arról, hogy az ActionTec T3200 csak egyszínű piros fényt, és mást nagyon kevés mást mutatott. Alabamától és Arkansastól Georgiáig és Kentuckyig az emberek el voltak vágva a külvilágtól. Néhányan részletesen beszámoltak a bevételkiesésről, mivel nem tudtak otthonról dolgozni, egy Windstream-előfizető pedig azt állította, hogy 1500 dolláros veszteséget szenvedett el a WiFi hiánya és a hibaelhárítással töltött órák miatt.
A vállalat kicserélte a tönkrement routereket, de a Lumen Technologies’ Black Lotus Labs kiberbiztonsági cég által nemrégiben készített jelentésig nem sok magyarázatot kaptunk.
A vizsgálat egy “pusztító eseményt” tárt fel, amelyről a Windstreamnek még nem kell elszámolnia.
Kiderült, hogy október 25-től kezdődően 72 órán keresztül rosszindulatú szoftvereket telepítettek, amelyek több mint 600 000, egy meg nem nevezett internetszolgáltatóhoz tartozó autonóm rendszerszámhoz (ASN) csatlakozó útválasztó eszközt tettek tönkre.
Lehetséges nemzetállami támadás
Véletlen egybeesés? Bár a kutatócsoport nem jelentette be az érintett internetszolgáltatót, a helyzet egybeesik a Windstream előfizetői által bejelentett tömeges brickeléssel és a fórumokon tett megjegyzéseik időkeretével.
A Chalubo néven ismert malware-t határozták meg, amely megfertőzte a routereket, és olyan egyedi Lua szkripteket hajtott végre, amelyek véglegesen felülírták a firmware-t, feleslegessé téve az eszközöket.
A kutatók kijelentették: “Az ilyen jellegű pusztító támadások rendkívül aggasztóak, különösen ebben az esetben”.
“Ennek az internetszolgáltatónak a szolgáltatási területének jelentős része vidéki vagy alulellátott közösségeket fed le; olyan helyeket, ahol a lakosok elveszíthették a sürgősségi szolgáltatásokhoz való hozzáférést, a mezőgazdasági vállalkozások elveszíthették a termények betakarítás közbeni távfelügyeletéből származó kritikus információkat, az egészségügyi szolgáltatók pedig elvágták a távgyógyítástól vagy a betegek nyilvántartásától.”
“Mondanom sem kell, hogy az elszigetelt vagy sérülékeny közösségekben hosszabb ideig tart az ellátási lánc bármely megszakadásából való helyreállítás.”
A kutatók megjegyezték, hogy valószínűleg egy kifinomult fenyegető szereplő a felelős, esetleg egy nemzetállam által támogatott támadás, anélkül, hogy további részleteket közöltek volna. Az alapos elemzés után a fertőzés kezdeti vektora továbbra is ismeretlen, több lehetőség is szóba jöhet.
A Windstream még mindig nem adott részletes választ vagy magyarázatot a történtekre, nyitva hagyva az ügyfelek kérdéseit, és a biztonsági szakértők is további válaszokat keresnek ezzel a jelentős és egyedülálló kibertámadással kapcsolatban.