Un malware desconocido destruye 600.000 routers de un proveedor de Internet
DepositPhotos / Imagen generada con IA
En un ataque sin precedentes, un malware ha destruido por completo cientos de miles de routers de un único ISP. Lo preocupante es que no saben qué malware es, ni quién es el atacante.
El pasado mes de octubre, en un plazo de tres días, más de 600.000 routers del proveedor de Internet norteamericano Windstream, dejaron de funcionar. La empresa no dio explicaciones, pero una investigación del laboratorio de seguridad Black Lotus, ha descubierto que los routers fueros destruidos por un malware desconocido.
Si se confirman los hechos, sería el ataque hacker más dañino jamás llevado a cabo, ya que no se trata de un virus que se puede eliminar, sino de la destrucción del router, al sobreescribir el firmware con uno infectado, que no se puede eliminar.
En 2022, un ataque de hackers rusos llamado AcidRain, durante la invasión de Ucrania, destruyó unos 10.000 routers del país invadido. Pero aquí estamos hablando de más de 600.000 routers convertidos en un ladrillo.
El ataque Eclipse de Calabaza
El pasado 25 de octubre, los clientes de Windstream empezaron a colgar en las redes sociales y foros de Internet, mensajes indicando que su router se había quedado bloqueado, con una luz roja permanente. Ni el apagado ni el reseteo, lo arreglaba.
Estos mensajes comenzaron a contarse por miles. Los usuarios lo achacaron a una actualización automática fallida del router. Ocurría en dos modelos diferentes: el router ActionTec T3200, y otro de Sagemcom.
Windstream no dio una explicación, y tras unos días de silencio, comenzó a enviar nuevos routers a los clientes.
Este ISP tiene 1,9 millones de clientes, casi todos en el entorno rural de estados como Iowa, Alabama o Kentucky. Para la mayoría de las más de 600.000 víctimas, quedarse varios días sin router supuso un grave perjuicio, porque era su única forma de conectarse a Internet.
Muchas granjas dejaron de recibir la información de las cosechas, con los sensores en tiempo real que usan, y muchos trabajos tuvieron que cerrar, porque Windstream es el único proveedor de Internet de la zona.
Meses después, el laboratorio Black Lotus de la empresa de seguridad Lumen, ha llevado a cabo una investigación del incidente, que ha bautizado con el nombre de The Pumpkin Eclipse (Eclipse de Calabaza), porque el apagón tuvo lugar en Halloween.
No cita a Windstream, pero las fechas, los modelos de routers, y otros datos, dejan claro que se refiere ella.
Según esta investigación, un malware desconocido instaló un firmware corrupto en todos los routers conectados al mismo ASN o Número de sistema anónimo, una forma de gestionar miles de routers al mismo tiempo.
El firmware destruyó el acceso a la propia ROM, así que ya no se puede reparar. Los ciberdelincuentes usaron un botnet llamado Chalubo para ocultar su rastro, por lo que no se sabe si son hackers estatales (al servicio de Rusia, China, Corea del Norte u otros países "enemigos" de Estados Unidos), o delincuentes comunes.
Puesto que Windstream no ha dado información, y estos investigadores no han tenido acceso a los routers, que fueron sustituidos, tampoco sabemos qué malware ha sembrado este caos, ni cómo se coló en los routers.
Según el informe, no se conocen vulnerabilidades en los routers afectados, así que podría tratarse de un robo de contraseñas para acceder al panel de control de la compañía, o que un fallo hubiese dejado dicho panel expuesto a Internet.
Lo preocupante de esta destrucción masiva de 600.000 routers de un solo ISP, es que no sabemos quién, ni como ha llevado a cabo esta acción. Así que el ataque de este peligroso malware podría volver a ocurrir.
Conoce cómo trabajamos en Computerhoy.