Un hacker misterioso mette fuori uso 600.000 router in tre giorni

Le origini e le motivazioni dell'attacco "Pumpkin Eclipse", che ma messo permanentemente fuori uso 600.000 router, rimangono ancora sconosciute.

Avatar di Giulia Di Venere

a cura di Giulia Di Venere

Editor

Oltre 600.000 router di un unico ISP sono stati infettati da un malware, dopo un'irruzione digitale da parte di malintenzionati non ancora identificati. Secondo i ricercatori di sicurezza di Black Lotus Labs, il grave attacco informatico (che all'epoca non era stato segnalato) è avvenuto tra il 25 e il 27 ottobre 2023 e ha reso questi dispositivi definitivamente inutilizzabili, necessitando una sostituzione hardware. 

L'evento è stato denominato "Pumpkin Eclipse".

I malintenzionati hanno specificatamente preso di mira due modelli di router ActionTec, il T3200 e il T3260. Non è chiaro come sia stato possibile l'accesso ai dispositivi, ma non risultano vulnerabilità su questi modelli nel database OpenCVE. Questo suggerisce che gli attaccanti potrebbero aver sfruttato credenziali deboli o aver esposto le interfacce amministrative.

Si sospetta che Windstream, un ISP con base in Arkansas, sia stato la vittima di questo attacco, ma la compagnia non ha rilasciato dichiarazioni. Black Lotus ha rivelato che gli hacker hanno utilizzato Chalubo, un trojan di accesso remoto noto dal 2018. Questo malware dispone di caratteristiche avanzate come crittografia nelle comunicazioni con i suoi server di comando e controllo, attacchi di tipo distributed-denial-of-service (DDoS), e l'esecuzione di script Lua sui dispositivi infettati. Curiosamente, le funzionalità DDoS non sono state sfruttate dagli aggressori.

Nonostante le implicazioni di questi attacchi sulle infrastrutture critiche, i ricercatori hanno escluso collegamenti con il gruppo Volt Typhoon della Cina, noto per infettare router, e Sandworm (o SeaShell Blizzard) un altro gruppo noto per attacchi distruttivi originario della Russia.

Questo tipo di attacco ricorda un precedente caso chiamato AcidRain, attribuito a Sandworm, che era stato utilizzato contro i modem KA-SAT in Ucraina prima dell'invasione russa. Tuttavia, questo episodio specifico è stato confinato a un solo ASN (autonomous system number) e Black Lotus ha espresso la sua sicurezza nel ritenere l'aggiornamento firmware dannoso un atto deliberato per causare un'interruzione di servizio.

Leggi altri articoli