Praėjusių metų spalio mėnesį vienu metu sugedo mažiausiai 600 000 JAV interneto tiekėjo „Windstream“ maršrutizatorių. Įvairiuose forumuose besilankančių vartotojų teigimu, problemos nepavyko išspręsti perkraunant ar atstatant nustatymus.
Paveikti modeliai buvo pagaminti „ActionTec“ ir „Sagemcom“. JAV „Windstream“ turi 1,6 mln. klientų. Nukentėjusieji iš pradžių kaltino bendrovę, kad po atnaujinimo maršrutizatoriai tapo netinkami naudoti.
„Windstream“ atsakė ir klientams pristatė naujus maršrutizatorius. Kaip išsiaiškino kibernetinio saugumo bendrovės „Lumen Technologies“ laboratorija „Black Lotus“, gedimą sukėlė kenkėjiška programinė įranga. Šią ataką jie pavadino „The Pumpkin Eclipse“ (tai galima išversti kaip „moliūgų užtemimas“).
Visi maršrutizatoriai buvo prijungti per autonominės sistemos numerį iš nežinomo interneto paslaugų teikėjo.
Neaišku, kas stovi už atakos ir kokia buvo užpuoliko motyvacija. Buvo naudojama masinė kenkėjiška programa „Chalubo“. Tai nuotolinės prieigos Trojos arklys (RAT), kurį užpuolikai gali lengvai įgyti be programavimo ar konfigūravimo. Atakos vykdomos automatiškai.
Trojos arklys pašalina visus pėdsakus, todėl jo neįmanoma susekti. Jis ištrina visus maršrutizatoriaus standžiajame diske esančius failus, įskaitant programinę įrangą, ir užšifruoja visus ryšius su serveriu. Jis taip pat gali vykdyti specialų scenarijų, kurį užpuolikai tikriausiai naudojo failams ištrinti.
Saugumo tyrėjai nežino jokios kitos atakos, kuri taip paralyžiuotų maršrutizatorius.
Pranešama, kad ankstesnės atakos taip pat buvo susijusios su konkrečiu maršrutizatoriaus modeliu, o ne su ASN. Kol kas neaišku, kaip užpuolikams pavyko įvykdyti ataką; tyrėjams nepavyko nustatyti pažeidžiamumo.
Bendrovė „Black Lotus Labs“ šį įvykį vadina labai nerimą keliančiu, nes nuo jo ypač nukentėjo kaimo vietovėse gyvenantys naudotojai, priklausomi nuo interneto ryšio. Sutrikimas gali padaryti didelę ekonominę žalą, pavyzdžiui, žemės ūkyje, kur ūkininkai valdo techniką. Gali būti paveiktos skubios pagalbos tarnybos ir nustoti veikti medicinos įranga.
Tačiau nuo tokių atakų kol kas nėra jokios apsaugos. „Black Lotus Labs“ rekomenduoja visada atnaujinti maršrutizatorių, naudoti stiprų slaptažodį ir reguliariai perkrauti įrenginį.