En octubre pasado, los suscriptores de un proveedor de servicios de Internet llamado Windstream se vieron envueltos en un problema de avería masiva de enrutadores, que afectó a alrededor de 600.000 dispositivos en 18 estados de EE. UU.
Inicialmente, muchos clientes culparon a la empresa por la interrupción generalizada del sistema, pero luego se hizo evidente que algo muy diferente estaba sucediendo después de que los televisores no respondieran a los reinicios y otros intentos de restaurarlos para que funcionaran correctamente.
Los usuarios se congregaron en foros de mensajes en línea para desahogar su ira y expresar sus propias experiencias sobre cómo el ActionTec T3200 mostraba una luz roja fija, pero muy poco más. Desde Alabama y Arkansas hasta Georgia y Kentucky, la gente quedó aislada del mundo exterior. Algunos detallaron la pérdida de ingresos porque no pudieron trabajar desde casa, y un suscriptor de Windstream afirmó que había perdido $1500 debido a la falta de WiFi y a las horas dedicadas a solucionar problemas.
La empresa reemplazó los enrutadores bloqueados, pero no ha habido mucha explicación hasta que un informe reciente realizado por Black Lotus Labs de la empresa de seguridad cibernética Lumen Technologies.
La investigación descubrió un “evento destructivo” del que Windstream aún no ha dado cuenta.
Resulta que durante 72 horas a partir del 25 de octubre, se implementó malware que eliminó más de 600.000 dispositivos de enrutador conectados a un número de sistema autónomo (ASN) solitario perteneciente a un ISP anónimo.
Posible ataque a un Estado-nación
¿Coincidencia? Si bien el equipo de investigación no ha declarado el ISP involucrado, la situación coincide con el bloqueo masivo informado por los suscriptores de Windstream y el período de sus comentarios en los foros.
Malware conocido como Se especificó Chalubo, que infectó los enrutadores, ejecutando scripts Lua personalizados que sobrescribieron permanentemente el firmware, volviendo los dispositivos redundantes.
Los investigadores afirmaron: “Los ataques destructivos de esta naturaleza son muy preocupantes, especialmente en este caso”.
“Una porción considerable del área de servicio de este ISP cubre rural o desatendido comunidades; lugares donde los residentes pueden haber perdido el acceso a los servicios de emergencia, las empresas agrícolas pueden haber perdido información crítica del monitoreo remoto de los cultivos durante la cosecha y los proveedores de atención médica no pueden acceder a la telesalud ni a los registros de los pacientes”.
“No hace falta decir que la recuperación de cualquier interrupción de la cadena de suministro lleva más tiempo en las comunidades aisladas o vulnerables”.
Los investigadores señalaron que es probable que el responsable sea un actor de amenazas sofisticado, potencialmente un ataque patrocinado por un estado-nación, sin dar más detalles. Tras un análisis exhaustivo, el vector de infección inicial sigue siendo desconocido y se están considerando una serie de posibilidades.
Windstream aún no ha proporcionado una respuesta detallada o una explicación sobre lo sucedido, lo que deja abiertas las consultas de los clientes, y los expertos en seguridad también buscan más respuestas sobre este importante y único ciberataque.
Crédito de la imagen: Ideograma
