Un fournisseur d’accs Internet (FAI) amricain non spcifi a subi une cyberattaque dvastatrice fin octobre 2023. Un mystrieux logiciel malveillant a dtruit plus de 600 000 routeurs, coupant l’accs Internet des clients de ce FAI dans 18 tats amricains. Les donnes suggrent qu’il s’agit du FAI Windstream. L’auteur de l’attaque reste inconnu, mais les experts en cyberscurit de Black Lotus Labs pensent qu’il s’agit potentiellement d’une attaque d’un tat-nation. Plusieurs modles de routeurs ont t cibls et le FAI affect aurait subi une rduction de 49 % du nombre de routeurs en tat de fonctionnement la suite de l’attaque.
La cyberattaque qui a potentiellement frapp Windstream se serait produite sur une priode de 72 heures allant du 25 au 27 octobre 2023. Dans un premier temps, de nombreux clients ont accus l’entreprise d’tre l’origine de cette panne gnralise par le biais travers une mise jour bogue qui a endommag les appareils. Mais il est apparu par la suite qu’il se passait quelque chose de trs diffrent aprs que les routeurs eurent cess de rpondre aux redmarrages et autres tentatives de remise en tat de marche. Le FAI n’aurait pas eu d’autres choix que de remplacer les 600 000 routeurs dtruits par l’attaque.
Le FAI n’avait pas t signal l’poque. Jeudi, la division Black Lotus Labs de Lumen Technologies a publi un rapport dtaill sur une attaque, baptise « Pumpkin Eclipse », bien qu’il reste encore de nombreuses zones d’ombres claircir. L’quipe de recherche de Black Lotus Labs n’a pas mentionn le FAI concern, mais la situation dcrite dans le rapport correspond l’incident de masse signal par les abonns de Windstream et la priode laquelle ils ont fait part de leurs commentaires sur les forums. L’quipe indique que tous les routeurs appartenaient un seul FAI et « tous ont t rendus dfinitivement inoprants ».
L’attaque a rendu les appareils infects dfinitivement inoprants et a ncessit un remplacement matriel , ont rapport les chercheurs de Black Lotus Labs. Le laboratoire indique que les routeurs ont t dtruits par un acteur inconnu dont les motivations sont tout aussi inconnues. Selon le rapport, l’attaquant a pris des mesures dlibres pour effacer ses traces en utilisant un logiciel malveillant de base connu sous le nom de Chalubo, plutt qu’une bote outils dveloppe sur mesure. Une fonction intgre Chalubo a permis l’attaquant d’excuter des scripts Lua personnaliss sur les appareils infects.
Les chercheurs pensent que le logiciel malveillant a tlcharg et excut un code qui a cras de faon permanente le micrologiciel des routeurs affects. Ils ont dclar : nous estimons avec une grande confiance que la mise jour malveillant du micrologiciel tait un acte dlibr visant provoquer une panne, et bien que nous nous attendions voir un certain nombre de marques et de modles de routeurs affects sur Internet, cet vnement s’est limit l’unique numro de systme autonome (ASN) . L’quipe a soulign « la porte dvastatrice » de cette attaque qui a coup soudainement les connexions d’autant d’appareils :
Envoy par Black Lotus Labs
Les attaques destructrices de cette nature sont trs proccupantes, surtout dans ce cas. Une grande partie de la zone de service de ce FAI couvre des communauts rurales ou mal desservies, des endroits o les habitants peuvent avoir perdu l’accs aux services d’urgence, o les exploitations agricoles peuvent avoir perdu des informations essentielles provenant de la surveillance distance des cultures pendant la rcolte, et o les prestataires de soins de sant sont coups de la tlsant ou des dossiers de leurs patients. Il va sans dire que le rtablissement aprs une interruption de la chane d’approvisionnement prend plus de temps dans les communauts isoles ou vulnrables.
Le maliciel Chalubo existe depuis 2018 et dispose de fonctions intgres pour chiffrer les communications avec le serveur de commande et de contrle, effectuer des attaques par dni de service distribu (DDoS) et excuter des scripts Lua sur les appareils infects. Il n’y a pas beaucoup de prcdents connus de logiciels malveillants qui effacent le micrologiciel des routeurs affects de la manire dont Black Lotus Labs a t tmoin. L’incident le plus rcent est peut-tre la dcouverte en 2022 d’AcidRain, nom donn un maliciel qui a mis hors service environ 10 000 routeurs du fournisseur d’accs Internet par satellite Viasat.
La panne, qui a touch l’Ukraine et d’autres parties de l’Europe, a concid avec l’invasion par la Russie du petit pays voisin. Black Lotus Labs n’a pas pu attribuer l’attaque un acteur spcifique de la menace et d’autres questions restent sans rponses. l’heure actuelle, il n’y a pas de chevauchement entre cette activit et des groupes d’activits connus d’tats-nations , indique le rapport. Plus prcisment, il n’y a pas de chevauchement avec Volt Typhoon de la Chine, qui a aussi l’habitude d’infecter les routeurs, ni avec Sandworm de la Russie, alias SeaShell Blizzard, un autre groupe connu pour ses attaques destructrices.
L’enqute de Black Lotus Labs rvle qu’un ASN spcifique avait connu une baisse de 49 % de ces modles juste au moment o les rapports ont commenc. Cela correspondait la dconnexion d’au moins 179 000 routeurs ActionTec et de plus de 480 000 routeurs vendus par Sagemcom. Bien que les chercheurs aient dj analys des attaques contre des routeurs domestiques et de petites entreprises, ils ont indiqu que deux lments distinguaient cette dernire attaque :
Envoy par Black Lotus LabsLe deuxime aspect unique est que cette campagne s’est limite un ASN spcifique. La plupart des campagnes prcdentes que nous avons vues ciblaient un modle de routeur spcifique ou une vulnrabilit commune et avaient des effets sur les rseaux de plusieurs fournisseurs. Dans le cas prsent, nous avons observ que les appareils Sagemcom et ActionTec ont t touchs en mme temps, tous deux au sein du rseau du mme fournisseur.
Cela nous a permis de dterminer qu’il ne s’agissait pas d’une mise jour dfectueuse du micrologiciel d’un seul fabricant, qui se limiterait normalement un ou plusieurs modles d’appareils d’une socit donne. Notre analyse des donnes Censys montre que l’impact n’a concern que les deux appareils en question.
Cette combinaison de facteurs nous a amens conclure que l’vnement tait probablement une action dlibre mene par un acteur malveillant non identifi, mme si nous n’avons pas t en mesure de rcuprer le module destructeur.
Un reprsentant de Black Lotus Labs a dclar Ars que l’quipe ne pouvait pas exclure qu’un tat-nation soit l’origine de cet incident. Selon l’quipe, il est possible que l’auteur de la menace ait exploit une vulnrabilit, bien qu’elle affirme ne pas avoir connaissance de vulnrabilits connues dans les routeurs affects. Il est galement possible que l’auteur de la menace ait abus de mots de passe faibles ou qu’il ait accd une plateforme d’administration expose.
La victime de cette cyberattaque dvastatrice serait Windstream, bas Little Rock dans l’Arkansas, mais l’entreprise a refus de faire des commentaires sur le rapport de Black Lotus Labs et l’incident. Toutefois, les dtails du rapport correspondent presque parfaitement aux dysfonctionnements signals par les abonns de Windstream. Il s’agit en particulier de la date laquelle l’incident de masse a commenc, des modles de routeurs concerns, de la description du FAI, etc.
Source : rapport des chercheurs de Black Lotus Labs
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’ampleur de la cyberattaque qui a probablement frapp Windstream ?
Quels pourraient tre les impacts de telles cyberattaques foudroyantes dans la vie quotidienne ?
Voir aussi