Malware fez 600 mil roteadores pararem de funcionar
Ataque misterioso “brickou” dispositivos e causou prejuízos significativos aos assinantes de operadora afetada
Centenas de milhares de usuários ficaram sem internet em outubro passado após um ataque de malware ter desativado permanentemente seus roteadores. O incidente, que a empresa de segurança Black Lotus Labs apelidou de “Pumpkin Eclipse” (Eclipse de Abóbora), afetou pelo menos 600.000 dispositivos pertencentes a uma única operadora de internet (ISP) nos Estados Unidos.
No final de outubro, clientes da operadora Windstream começaram a relatar problemas generalizados com seus roteadores T3200, da marca ActionTec. Os dispositivos simplesmente paravam de funcionar e não respondiam a nenhuma tentativa de reinicialização. Muitos usuários culparam a própria empresa pelo ocorrido, acreditando que uma atualização defeituosa havia danificado os roteadores, e relatando prejuízos financeiros por falta de operação de suas conexões de internet.
A operadora, que possui cerca de 1,6 milhão de assinantes em 18 estados dos EUA, acabou enviando novos roteadores para os clientes afetados após constatar que eles estavam permanentemente inutilizáveis. No entanto, a causa do problema permanecia um mistério.
Um relatório publicado pela Black Lotus Labs esclareceu o que realmente aconteceu. Pesquisadores descobriram que o malware “Chalubo” foi o responsável por inutilizar os roteadores. O malware explorou uma vulnerabilidade desconhecida (ou explorou credenciais fracas) para infectar os dispositivos e sobrescrever permanentemente o firmware, tornando-os irrecuperáveis. Em menos de 3 dias, 600 mil dispositivos conectados a um único número de sistema autônomo (ASN) de um ISP não identificado estavam infectados.
De acordo com o relatório, o ataque parece ter sido deliberado e visou causar uma interrupção significativa do serviço. O fato de ter afetado principalmente uma única operadora, com forte presença em regiões rurais e carentes, torna o caso ainda mais preocupante. Milhares de pessoas podem ter perdido acesso a serviços essenciais como atendimento médico remoto, monitoramento agrícola e até mesmo serviços de emergência.
Após identificar o ASN, a Black Lotus Labs descobriu um mecanismo complexo de infecção múltipla para instalar o Chalubo nos roteadores. Eles também notaram uma queda de 49% nos modelos afetados dentro de uma semana, resultando na desconexão de pelo menos 179 mil roteadores ActionTec e mais de 480 mil roteadores Sagemcom. Ainda não se sabe o motivo do ataque.
Caso raro
Ataques dessa natureza são raros, sendo o mais próximo o incidente de 2022, quando o malware AcidRain desativou 10 mil modems de internet via satélite da Viasat, coincidindo com a invasão da Ucrânia pela Rússia. Os pesquisadores não descartam a possibilidade de uma nação estar por trás do ataque, mas não encontraram conexões com grupos conhecidos.
Os pesquisadores ainda não determinaram o método inicial de infecção dos roteadores, mas levantam hipóteses como exploração de vulnerabilidades ou uso de credenciais fracas.
Como se prevenir
Embora a investigação sobre o ataque ainda esteja em curso, os pesquisadores oferecem algumas recomendações para se proteger contra esse tipo de ameaça:
- Instale atualizações de segurança dos roteadores assim que disponibilizadas.
- Substitua as senhas padrão por credenciais fortes e complexas.
- Reinicie o roteador periodicamente.
- ISPs e outras organizações que gerenciam roteadores devem seguir práticas recomendadas de segurança para proteger as interfaces de administração desses dispositivos.