AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Massiccio attacco informatico sui router domestici di Windstream

Un'analisi del devastante attacco informatico ai router Windstream e delle tecniche utilizzate dai cybercriminali

Un attacco malware chiamato "Pumpkin Eclipse" ha reso inutilizzabili oltre 600.000 router Windstream negli USA. Gli esperti di Black Lotus Labs hanno scoperto che il malware Chalubo ha sovrascritto il firmware dei dispositivi. L'origine dell'attacco è ancora incerta.

This pill is also available in English language

A partire dal 25 ottobre dello scorso anno, un incidente senza precedenti ha colpito il settore delle telecomunicazioni. Per tre giorni consecutivi, Windstream, un fornitore di servizi di connettività statunitense con circa 1,6 milioni di abbonati distribuiti in 18 stati, ha ricevuto segnalazioni di guasti improvvisi e inspiegabili dai propri utenti. Più di 600.000 router domestici, principalmente modelli ActionTec T3200, sono improvvisamente diventati inutilizzabili, causando perdite economiche agli utenti che dipendevano dalla connessione Internet per il loro lavoro e altre attività essenziali.

Ipotesi di aggiornamento fallito e scoperte di Black Lotus Labs

All'inizio, molti utenti hanno sospettato che la colpa fosse di Windstream, ipotizzando che un aggiornamento firmware non riuscito fosse la causa principale. Di fronte a router inutilizzabili, Windstream ha dovuto inviare nuovi dispositivi ai clienti colpiti. Tuttavia, un'indagine condotta da Black Lotus Labs, la divisione di sicurezza di Lumen Technologies, ha cambiato le carte in tavola. Nel loro rapporto, gli esperti hanno rivelato che dietro l'incidente c'era un malware soprannominato "Pumpkin Eclipse". Nonostante l'ISP non sia stato nominato esplicitamente, molti dettagli coincidevano con le segnalazioni dei clienti Windstream, suggerendo che l'ISP fosse proprio il target dell'attacco.

Il ruolo del malware Chalubo e le conseguenze per gli utenti

Secondo il rapporto di Black Lotus Labs, il malware utilizzato nell'attacco era un software commerciale chiamato Chalubo, noto per eseguire script Lua personalizzati sui dispositivi infetti. Gli attaccanti hanno sfruttato questa capacità per scaricare ed eseguire codice che sovrascriveva permanentemente il firmware dei router, rendendoli inutilizzabili. L'impatto di questo attacco è stato devastante, soprattutto per le comunità rurali o meno servite, che hanno perso accesso a servizi essenziali come emergenze sanitarie, operazioni agricole critiche o telemedicina. Il ripristino dei servizi in queste aree è stato complicato e ha richiesto più tempo, sottolineando la vulnerabilità delle connessioni Internet in contesti isolati.

Ipotesi sull'origine dell'attacco e coinvolgimento di Stati

I ricercatori non sono ancora riusciti a determinare con certezza i vettori di infezione iniziale. Tuttavia, escludono l'ipotesi di un aggiornamento firmware difettoso prodotto da un singolo fornitore, dato che l'attacco ha coinvolto router di due produttori diversi e ha colpito un solo ISP. Una delle ipotesi più accreditate è che gli attaccanti abbiano avuto accesso a pannelli di amministrazione esposti su Internet o protetti da credenziali deboli. Sebbene non sia stato possibile escludere un coinvolgimento di uno stato-nazione, non ci sono prove concrete che possano collegare l'incidente a gruppi sponsorizzati da governi. L'evento resta unico nel suo genere, paragonabile solo all'attacco con il malware AcidRain che nel 2022 ha colpito 10.000 modem del provider satellitare Viasat durante l'invasione russa dell'Ucraina. Questo lascia aperte molte domande sulle ragioni e gli scopi dei cybercriminali responsabili dell'attacco.

Follow us on Telegram for more pills like this

06/02/2024 08:48

Editorial AI

Last pills

Data breach: 560 million users involvedHow to protect yourself from the consequences of a major data breach

Ransomware attack on Synnovis: London health services in crisisSevere disruption to pathology and diagnostic services in London

A new LPE exploit for Windows for sale in the undergroundA new local privilege escalation threat for Windows in the underground forums

Critical failure in Check Point VPN solutions: risks and security measuresExposure of enterprise systems: urgent updates and patches to protect networks