Une attaque informatique de grande ampleur a désactivé plus de 600 000 box internet d’un fournisseur d’accès américain l’an dernier. Ce serait l’une des plus importantes cyberattaques jamais orchestrées contre le secteur des télécoms aux États-Unis.
Les chercheurs de Black Lotus Labs, qui ont découvert toute l’affaire, expliquent que l’incident a eu lieu du 25 au 27 octobre 2023, transformant les routeurs en briques. Si Black Lotus ne donne pas le nom du FAI en question, il s’agirait de Windstream selon Reuters.
Un malware qui cache son jeu
Windstream une entreprise basée dans l’Arkansas, qui dessert les États du Midwest américain. Les pirates ont utilisé le cheval de Troie « Chalubo » ; repéré dès 2018, ce trojan utilise d’habiles techniques de camouflage pour masquer ses méfaits.
Le malware adopte le nom d’un processus déjà présent sur l’appareil pour se fondre dans le système. Lorsqu’il est en place, Chalubo cible les principaux noyaux des routeurs. Il peut réaliser des attaques par déni de service DDoS et exécuter des scripts Lua, une fonction qui a probablement été exploitée par le ou les pirates pour détruire du code.
Le malware a été envoyé aux clients de Windstream via une mise à jour du firmware, qui a supprimé certains éléments du code des box, ce qui les a rendu effectivement inutilisables. On ignore en revanche comment la mise à jour a été envoyée aux utilisateurs. « La mise à jour malveillante était un acte délibéré destiné à provoquer une panne », assurent les chercheurs en sécurité.
« Une partie importante de la couverture de ce FAI concerne des communautés rurales ou mal desservies », ajoute Black Lotus, « des endroits où les résidents ont peut-être perdu l’accès aux services d’urgence, où les exploitants agricoles ont peut-être perdu des informations cruciales provenant de la surveillance à distance des cultures pendant la récolte, et où les prestataires de soins de santé ont été coupés des services de télésanté ou des dossiers des patients ». Autant dire, une catastrophe pour tout le monde.
Les clients touchés n’ont pas eu d’autre choix que de retourner le routeur à l’entreprise pour en récupérer un nouveau, puisqu’un correctif logiciel n’a pas suffi à rétablir la situation.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Reuters