Mais de 600 mil roteadores domésticos foram derrubados e inutilizados após um ciberataque guiado por hackers desconhecidos, interrompendo o acesso dos usuários à internet. O evento ocorreu nos Estados Unidos entre 25 e 27 de outubro de 2023 e afetou um único provedor de internet.
O ataque misterioso foi denominado “Pumpkin Eclipse” pela empresa de telecomunicações Lumen.
“O incidente ocorreu dentro de um período de 72h, deixou os dispositivos permanentemente inoperantes e exigiu a substituição dos mesmos”, declarou a companhia em relatório técnico.
Esse “apagão” dos roteadores é bastante significativo, uma vez que levou à remoção abrupta de 49% de todos os modems do ASN (número de sistema autônomo) afetado no período.
Embora o nome do ISP não tenha sido divulgado, evidências apontam que se trata da empresa Windstream, que sofreu uma interrupção na mesma época, fazendo com que os usuários relatassem uma “luz vermelha constante” sendo exibida pelos modems afetados.
Agora, meses depois, a análise da Lumen revelou um trojan de acesso remoto (RAT) chamado Chalubo – um malware identificado pela Sophos em outubro de 2018 – como responsável pela sabotagem.
Leia também 👉🏽 Trojan ou cavalo de troia: saiba como evitar e remover o malware
Provavelmente, os cibercriminosos optaram pelo malware em um esforço para complicar os esforços de atribuição, e não usar um kit personalizado de ferramentas.
O exato método de acesso inicial para invadir os roteadores atualmente é incerto. Apesar disso, acredita-se que o processo envolveu o abuso de credenciais fracas ou uma interface de administrador exposta ou explorada.
Um aspecto notório da campanha é visar um único ASN. Em geral, os ataques miram um modelo específico de roteador ou uma vulnerabilidade comum.
Nesse sentido, estima-se que o incidente foi deliberado, embora as motivações ainda não estejam claras.
“Foi um evento sem precedentes considerando o número de unidades afetadas. Nenhum ataque conhecido exigiu a substituição de mais de 600.000 dispositivos”, afirmou a companhia Lumen. “Além disso, esse tipo de ataque só ocorreu uma vez antes, tendo o AcidRain sido utilizado como precursor de uma invasão militar ativa.”
Com informações de: The Hacker News
Imagem: Stephen Phillips – Hostreviews.co.uk na Unsplash
