Foto: Reprodução.
Um malware misterioso deixou 600 mil roteadores inoperantes
Um malware de origem desconhecida causou a inutilização de aproximadamente 600 mil roteadores de um provedor único nos Estados Unidos, em outubro de 2023. Com a interrupção do acesso à internet, os usuários foram forçados a substituir os equipamentos.
O incidente foi detectado pelos pesquisadores de segurança cibernética da Black Lotus Labs, uma divisão da empresa Lumen. De acordo com os especialistas, três modelos de roteadores foram “brickados”: ActionTec T3200S, ActionTec T3260S e Sagemcom F5380. O ataque ocorreu entre os dias 24 e 27 de outubro de 2023 e recebeu o nome de Pumpkin Eclipse, devido à proximidade com o eclipse solar que ocorreu no mesmo mês e a celebração do Halloween.
A Black Lotus Labs apenas menciona que o ataque visou equipamentos de um único provedor, sem identificá-lo. Conforme o Ars Technica, a descrição dos eventos coincide com relatos de clientes da Windstream, que atende principalmente aos estados do Meio-Oeste dos EUA. Os consumidores expressaram suas reclamações em fóruns online e no Reddit, suspeitando de problemas nas atualizações automáticas dos roteadores. Segundo os relatos, a conexão foi interrompida e uma luz vermelha permaneceu acesa.
Motivação do malware é desconhecida Curiosamente, pouco se sabe sobre o Pumpkin Eclipse. Os pesquisadores da Black Lotus Labs não conseguiram identificar a vulnerabilidade que permitiu o ataque, sugerindo que os invasores podem ter explorado uma falha “zero-day” ainda não descoberta ou obtido credenciais para acessar uma interface administrativa.
Os autores da botnet utilizaram dois scripts para instalar um malware conhecido como Chalubo. A Black Lotus Labs acredita que o software malicioso foi usado para apagar completamente o firmware dos roteadores. O payload em si não foi encontrado, o que impede a determinação exata de como isso ocorreu.
O Chalubo pode ser usado em ataques distribuídos de negação de serviço (DDoS), mas nenhum comportamento desse tipo foi observado. Também é incerto por que a ação visou apenas um provedor. Normalmente, os agentes maliciosos visam um ou mais modelos de roteadores, mesmo que estejam sendo usados por várias empresas.
De acordo com os especialistas, existem poucos registros de ataques com essas características. Um deles, conhecido como AcidRain, ocorreu em 2022, quando cerca de 10 mil modems da Viasat foram desativados. O problema afetou principalmente a Ucrânia, e acredita-se que tenha sido uma ação da Rússia antes da invasão.
