Un botnet malveillant nommé « Pumpkin Eclipse » a effectué un mystérieux événement destructeur en 2023 qui a détruit 600 000 routeurs Internet de bureau/bureau à domicile (SOHO) hors ligne, perturbant l’accès Internet des clients.

Selon des chercheurs des laboratoires Black Lotus de Lumen, qui ont observé l’incident, il a perturbé l’accès à Internet dans de nombreux États du Midwest entre le 25 et le 27 octobre 2023. Cela n’a laissé aux propriétaires des appareils infectés d’autre choix que de remplacer les routeurs.

Bien qu’à grande échelle, l’incident a eu un impact ciblé, affectant un seul fournisseur de services Internet (FAI) et trois modèles de routeurs utilisés par l’entreprise: les ActionTec T3200, ActionTec T3260 et Sagemcom F5380.

Black Lotus Labs affirme que le FAI particulier dessert les communautés vulnérables aux États-Unis et a subi une réduction de 49% du nombre de modems en fonctionnement en raison de l’incident de « Pumpkin Eclipse ».

Appareils détectables auprès du FAI concerné

Bien que Black Lotus n’ait pas nommé le FAI, il ressemble de façon frappante à une panne de courant éolien survenue au cours de la même période.

À partir du 25 octobre 2023, les clients de Windstream ont commencé à signaler sur Reddit que leurs routeurs ne fonctionnaient plus.

« J’ai donc un modem T3200 depuis un certain temps maintenant, mais aujourd’hui, il s’est passé quelque chose que je n’avais jamais connu auparavant. Le voyant Internet est rouge fixe. Qu’est-ce que cela signifie et comment puis-je y remédier?, « a rapporté un utilisateur dans le subreddit Winstream.

« Le mien est tombé vers 21 heures la nuit dernière, ignoré jusqu’à ce que j’aie le temps de dépanner cet après-midi. Après avoir parcouru le chatbot (et le T3200 ne répondant pas à la réinitialisation d’usine), il était assez clair que le routeur était le problème », a déclaré un autre utilisateur.

Les abonnés touchés par la panne de Windstream ont été informés qu’ils devaient remplacer les routeurs par un nouveau pour rétablir leur accès Internet.

Lorsqu’il a été contacté à propos de l’incident, Windstream a déclaré à Breachtrace qu’ils n’avaient pas de commentaire.

Attaque d’Éclipse de citrouille
Sept mois plus tard, un nouveau rapport de Black Lotus pourrait enfin faire la lumière sur l’incident, expliquant qu’un botnet était responsable de la suppression de 600 000 routeurs dans les États du Midwest chez un seul FAI en octobre 2023.

« Les laboratoires Black Lotus de Lumen Technologies ont identifié un événement destructeur, car plus de 600 000 petits routeurs de bureau/bureau à domicile (SOHO) ont été mis hors ligne appartenant à un seul fournisseur de services Internet (FAI). L’incident s’est déroulé sur une période de 72 heures entre le 25 et le 27 octobre, a rendu les appareils infectés définitivement inutilisables et a nécessité un remplacement matériel. Les données d’analyse publiques ont confirmé la suppression soudaine et précipitée de 49% de tous les modems du numéro de système autonome (ASN) du FAI concerné au cours de cette période. »

❖ Laboratoires du Lotus Noir


Les chercheurs n’ont pas pu trouver la vulnérabilité utilisée pour l’accès initial, de sorte que les attaquants ont soit utilisé une faille zero-day inconnue, soit exploité des informations d’identification faibles en combinaison avec une interface d’administration exposée.

La charge utile de la première étape est un script bash nommé « get_scrpc », qui s’exécute pour récupérer un deuxième script appelé « get_strtriiush », qui est responsable de la récupération et de l’exécution de la charge utile principale du bot, « Chalubo » (« mips.elfe »).

Chalubo est exécuté à partir de la mémoire pour échapper à la détection et utilise le cryptage ChaCha20 lors de la communication avec les serveurs de commande et de contrôle (C2) pour protéger le canal de communication, pendant qu’il efface tous les fichiers du disque et change le nom du processus une fois qu’il est en cours d’exécution.

L’attaquant peut envoyer des commandes au bot via des scripts Lua, qui permettent l’exfiltration de données, le téléchargement de modules supplémentaires ou l’introduction de nouvelles charges utiles sur l’appareil infecté.

La chaîne d’infection « Éclipse de citrouille »

Lors de l’exécution, qui comprend un délai de 30 minutes pour échapper aux bacs à sable, le bot collecte des informations basées sur l’hôte telles que l’adresse MAC, l’ID de l’appareil, le type d’appareil, la version de l’appareil et l’adresse IP locale.

Chalubo a distribué une fonctionnalité de déni de service (DDoS), indiquant les objectifs opérationnels de Pumpkin Eclipse. Cependant, Black Lotus Labs n’a observé aucune attaque DDoS du botnet.

Les analystes notent que Chalubo manque un mécanisme de persistance, donc le redémarrage du routeur infecté perturbe le fonctionnement du bot.

Black Lotus Labs affirme que ses données de télémétrie indiquent que Chalubo exploite 45 panels de logiciels malveillants communiquant plus de 650 000 adresses IP uniques du 3 octobre au 3 novembre, la plupart basées aux États-Unis.

Propagation mondiale du malware Chiluba

Un seul de ces panneaux a été utilisé pour l’attaque destructrice et il s’est concentré sur un FAI américain spécifique, ce qui a amené les chercheurs de Black Lotus à croire que l’attaquant avait acheté le panneau Chalubo dans le but spécifique de déployer la charge utile destructrice sur les routeurs.

« Le deuxième aspect unique est que cette campagne s’est limitée à un ASN particulier. La plupart des campagnes précédentes que nous avons vues ciblent un modèle de routeur spécifique ou une vulnérabilité commune et ont des effets sur les réseaux de plusieurs fournisseurs. Dans ce cas, nous avons observé que les appareils Sagemcom et ActionTec étaient impactés en même temps, tous deux au sein du même réseau de fournisseur. Cela nous a amenés à évaluer que ce n’était pas le résultat d’une mise à jour défectueuse du micrologiciel par un seul fabricant, qui se limiterait normalement à un ou plusieurs modèles d’appareils d’une entreprise donnée. Notre analyse des données Censys montre que l’impact n’était que pour les deux en question. Cette combinaison de facteurs nous a amenés à conclure que l’événement était probablement une action délibérée prise par un cyberacteur malveillant non attribué, même si nous n’avons pas été en mesure de récupérer le module destructeur. »- Lotus Noir

Malheureusement, les chercheurs n’ont pas pu trouver la charge utile utilisée pour briquer les routeurs, ils n’ont donc pas pu déterminer comment cela a été fait ni dans quel but.

Black Lotus Labs note que c’est la première fois, à l’exception de l’incident « AcidRain », qu’un malware de botnet reçoit l’ordre de détruire ses hôtes et de causer des dommages financiers à grande échelle en imposant des remplacements matériels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *