Massiccio attacco informatico sui router domestici di Windstream

A partire dal 25 ottobre dello scorso anno, un incidente senza precedenti ha colpito il settore delle telecomunicazioni. Per tre giorni consecutivi, Windstream, un fornitore di servizi di connettività statunitense con circa 1,6 milioni di abbonati distribuiti in 18 stati, ha ricevuto segnalazioni di guasti improvvisi e inspiegabili dai propri utenti. Più di 600.000 router domestici, principalmente modelli ActionTec T3200, sono improvvisamente diventati inutilizzabili, causando perdite economiche agli utenti che dipendevano dalla connessione Internet per il loro lavoro e altre attività essenziali.

Ipotesi di aggiornamento fallito e scoperte di Black Lotus Labs

All'inizio, molti utenti hanno sospettato che la colpa fosse di Windstream, ipotizzando che un aggiornamento firmware non riuscito fosse la causa principale. Di fronte a router inutilizzabili, Windstream ha dovuto inviare nuovi dispositivi ai clienti colpiti. Tuttavia, un'indagine condotta da Black Lotus Labs, la divisione di sicurezza di Lumen Technologies, ha cambiato le carte in tavola. Nel loro rapporto, gli esperti hanno rivelato che dietro l'incidente c'era un malware soprannominato "Pumpkin Eclipse". Nonostante l'ISP non sia stato nominato esplicitamente, molti dettagli coincidevano con le segnalazioni dei clienti Windstream, suggerendo che l'ISP fosse proprio il target dell'attacco.

Il ruolo del malware Chalubo e le conseguenze per gli utenti

Secondo il rapporto di Black Lotus Labs, il malware utilizzato nell'attacco era un software commerciale chiamato Chalubo, noto per eseguire script Lua personalizzati sui dispositivi infetti. Gli attaccanti hanno sfruttato questa capacità per scaricare ed eseguire codice che sovrascriveva permanentemente il firmware dei router, rendendoli inutilizzabili. L'impatto di questo attacco è stato devastante, soprattutto per le comunità rurali o meno servite, che hanno perso accesso a servizi essenziali come emergenze sanitarie, operazioni agricole critiche o telemedicina. Il ripristino dei servizi in queste aree è stato complicato e ha richiesto più tempo, sottolineando la vulnerabilità delle connessioni Internet in contesti isolati.

Ipotesi sull'origine dell'attacco e coinvolgimento di Stati

I ricercatori non sono ancora riusciti a determinare con certezza i vettori di infezione iniziale. Tuttavia, escludono l'ipotesi di un aggiornamento firmware difettoso prodotto da un singolo fornitore, dato che l'attacco ha coinvolto router di due produttori diversi e ha colpito un solo ISP. Una delle ipotesi più accreditate è che gli attaccanti abbiano avuto accesso a pannelli di amministrazione esposti su Internet o protetti da credenziali deboli. Sebbene non sia stato possibile escludere un coinvolgimento di uno stato-nazione, non ci sono prove concrete che possano collegare l'incidente a gruppi sponsorizzati da governi. L'evento resta unico nel suo genere, paragonabile solo all'attacco con il malware AcidRain che nel 2022 ha colpito 10.000 modem del provider satellitare Viasat durante l'invasione russa dell'Ucraina. Questo lascia aperte molte domande sulle ragioni e gli scopi dei cybercriminali responsabili dell'attacco.