Взлом 600 тыс. маршрутизаторов Windstream: масштабный инцидент в области кибербезопасности

В октябре 2023 года специалисты Black Lotus Labs выявили около 600 тыс. маршрутизаторов клиентов американского интернет-провайдера Windstream, которые были взломаны всего за трое суток. Подробности этого инцидента были раскрыты в конце мая в блоге компании Black Lotus Labs.

Согласно полученным данным, заражению подверглись около 600 тыс. Wi-Fi-роутеров, что составляет 49% от всех сетевых устройств Windstream. В основном пострадали роутеры ActionTec T3200 и T3260, а также устройства Sagemcom.

Несмотря на масштаб сбоя, американский провайдер официально не признала проблемы в работе своих сервисов. Пользователи сообщали, что компания решила вопрос, заменив поврежденное оборудование.

ИБ-специалисты выявили, что причиной сбоя стал вредоносный пакет прошивки, который удалил ключевые части рабочего кода маршрутизаторов. Вредоносное ПО было идентифицировано как Chalubo, троян удаленного доступа. Метод распространения прошивки остается неизвестным, однако предполагается использование уязвимостей, слабых учетных данных или доступа к административным инструментам.

Инцидент привел к тому, что многие клиенты лишились возможности использовать домашние телефоны и временно потеряли связь с внешним миром, особенно в удаленных районах. Злоумышленники, чьи мотивы так и не были раскрыты, смогли скрыть следы своих действий и использовать Chalubo для выполнения собственных скриптов Lua на зараженных устройствах, что привело к невозможности восстановления прошивок пользователями.

Этот инцидент подчеркивает важность обеспечения безопасности сетевых устройств и необходимость регулярного обновления прошивок. Он также напоминает о том, что даже крупные провайдеры могут стать жертвами кибератак, и что последствия таких атак могут быть серьезными и долгосрочными.