Botnet danificou 600 mil routers sem razão aparente em 2023
Uma rede botnet bastante misteriosa pode ter causado falhas em mais de 600.000 routers espalhados pelo mundo, colocando os mesmos offline. A rede botnet atacou um grupo especifico de routers, usados por algumas operadoras.
O evento aconteceu em 2023, sendo que a rede é apelidada de “Pumpkin Eclipse”. Segundo os investigadores da Lumen Black Lotus Labs, o ataque ocorreu em 2023, e terá deixado milhares de routers inacessíveis entre 25 e 27 de Outubro de 2023.
O ataque foi bastante destrutivo, tanto que os donos destes routers tiveram mesmo de substituir os mesmos para voltarem a ter ligação com a rede. O ataque parece ter sido voltado para routers domésticos, que são vendidos pelas operadoras para os clientes.
O ataque afetou os routers ActionTec T3200s, ActionTec T3260s, e Sagemcom F5380. Os investigadores afirmam que o ataque teve maior impacto nos EUA, onde uma operadora local estaria a fornecer estes modelos de routers específicos para os seus clientes.
Na altura do ataque, essa operadora perdeu quase 49% dos acessos regulares devido aos clientes terem ficado sem acesso à internet, com os routers inutilizados. Os investigadores não revelaram o nome da operadora afetada.
Segundo os investigadores, que analisaram o ataque, este aparenta ter afetado mais de 600.000 routers. Embora não tenha sido revelado o nome da operadora afetada, acredita-se que pode estar relacionado com falhas registadas pela Windstream na mesma altura.
Vários clientes desta operadora reportaram falhas na ligação à internet na mesma altura em que o ataque terá ocorrido.
Embora o ataque tenha afetado um alargado número de routers ao mesmo tempo, os investigadores não conseguiram identificar a origem para tal atividade. Acredita-se que os atacantes podem ter explorado uma falha existente no sistema do router, que era desconhecida, para levar ao problema.
Os scripts usados para o ataque terão ainda recolhido dados dos routers e das redes afetadas, enviando a informação para um servidor em controlo dos atacantes. Depois disso, o script encontra-se programado para eliminar permanentemente todos os dados armazenados no sistema de memória dos routers, causando com que estes fiquem totalmente inoperacionais.
Os investigadores afirmam que o malware instalado nos routers para causar esta falha teria ainda capacidade de usar os mesmos para ataques DDoS, mas que essa funcionalidade não foi usada.
Curiosamente, embora o ataque tenha afetado um alargado numero de routers no mercado, as motivações que levaram a tal são ainda desconhecidas.