Da privati cittadini siamo abituati a pensare che gli attacchi hacker di cui possiamo rimanere vittime possano procurarci danni molto gravi ma prevalentemente immateriali – perdita di dati, furto di identità, diffusione di nostre informazioni – e ci immaginavamo che i cybercriminali che attaccano per colpire e distruggere definitivamente un oggetto hardware rivolgessero le loro attenzioni esclusivamente a governi, enti o industrie.
E invece, con loro comprensibile disappunto, 600 mila utenti privati di tipo SOHO (Small Office Home Office) di un Internet Service Provider USA hanno scoperto di essere la prima eccezione alla regola di cui sopra, essendosi ritrovati da un momento all’altro con il proprio router guasto e reso definitivamente inservibile da un attacco hacker.
E, ovviamente, senza connessione internet.
Cosa è successo
È stato grazie a una indagine dei ricercatori del Black Lotus Lab di Lumen, avviata a fine ottobre 2023, che si è scoperto che per circa 72 ore a cavallo, tra il 25 e il 27 ottobre 2023, 600 mila router appartenenti a un unico Internet Service Provider (ISP) – corrispondenti a quasi la metà dei suoi utenti – sono stati infettati da un malware e bricked ovvero resi definitivamente inutilizzabili, lasciando i loro utenti privi di connettività.
L’indagine aveva preso il via proprio per l’improvviso picco di richieste di assistenza degli utenti, tutte del medesimo tenore: il router mostrava un led fisso rosso e non dava segni di vita.
I router colpiti sono i modelli ActionTec T3200s, ActionTec T3260s e Sagemcom F5380 forniti dall’ISP.
Incrociando questo dato con il codice univoco ASN (Autonomous System Numbers) assegnato agli ISP era stato poi possibile verificare che il problema aveva riguardato un unico ISP.
Anche se Black Lotus Labs non ne ha svelato il nome, molti analisti avevano poi individuato in Windstream, fornitore di servizi internet che opera prevalentemente in USA e garantisce la copertura anche ad aree rurali, l’ISP rimasto vittima dell’attacco.
Contattato dalla stampa a novembre 2023, Windstream non aveva voluto rilasciare dichiarazioni
Pumpkin Eclipse
I ricercatori del Black Lotus Labs hanno accertato che l’attacco informatico, cui hanno dato il nome di Pumpkin Eclipse, ha fatto uso di una combinazione di script e di un payload, un malware commerciale noto come Chalubo, in grado di scaricare ed eseguire comandi LUA da una centrale di comando e controllo, in modo da ampliare il numero di funzionalità eseguibili sul dispositivo.
Il malware è stato iniettato dopo aver compromesso il dispositivo ma i ricercatori non sono stati in grado di capire se ciò sia avvenuto sfruttando una vulnerabilità del dispositivo oppure attraverso credenziali o interfacce di amministrazioni deboli o già note.
Una volta compromesso il dispositivo, l’attacco è stato condotto in due stadi avviati da altrettanti script, il secondo dei quali è quello che scarica ed esegue Chalubo.
Chalubo ha poi consentito agli attaccanti di criptare le comunicazioni con i server C2 di comando e controllo ed eseguire una serie di altre azioni tra cui la cancellazione di tutte le istruzioni eseguite, comprese quelle che hanno consentito di modificare il firmware.
Per tale motivo non è stato possibile ricostruire la tecnica utilizzata per mettere fuori uso definitivamente i router.
Le peculiarità dell’incidente
Nelle conclusioni gli stessi ricercatori del Lotus Black Labs hanno definito l’evento “unprecedented” e i motivi per concordare con tale definizione sono almeno duplici:
● le dimensioni: il volume di dispositivi colpiti è enorme sia in valore assoluto sia, a maggior ragione, considerando che con questo attacco i cybercriminali hanno colpito quasi la metà degli utenti dell’ISP, costringendolo a un ingente esborso economico per la sostituzione degli apparati;
● la novità: esiste un solo precedente di attacchi lanciati per mettere fuori uso apparati di collegamento a Internet di tipo Soho, quello denominato AcidRain, avvenuto però nel contesto della guerra russo-ucraina ed evidentemente mosso da motivazioni e obiettivi militari.
A queste valutazioni si possono aggiungere ulteriori considerazioni utili a caratterizzare lo specifico attacco:
● i router colpiti sono di due diverse marche e sono utilizzati da differenti ISP ma l’attacco è rimasto confinato a un solo ISP, il che rende evidente che si sia trattato di una scelta consapevole e deliberata degli attaccanti;
● il malware Chalubo è uno strumento abbastanza flessibile che può essere utilizzato per creare botnet e per condurre differenti tipologie di attacco tra cui quelli DDOS e nello stesso periodo dell’attacco i report hanno registrato altri attacchi non distruttivi condotti col medesimo malware. Ciò lascia supporre che lo strumento sia stato scelto per rendere più difficile l’attribuzione del gesto.
● sia l’assenza di analogie tra questo tipo di attacco e quelli tipicamente adottati da attori e APT noti quali Volt Typhoon, sia l’analisi condotta dagli esperti di Lumen sulle botnet operanti nel periodo dell’attacco portano a escludere gli attori statali o state-sponsored dal novero dei soggetti sospettati.
