Ultimi Nutizie

Attualità mundiale per u populu corsu

Rivista Principià

Tutti l’effetti di u cyberattack Pumpkin Eclipse

Tutti l'effetti di u cyberattack Pumpkin Eclipse

Tra u 25 è u 27 d'ottobre 2023, 600 mila routers appartenenti à un unicu Fornitore di Serviziu Internet (ISP) – chì currispondenu à quasi a mità di i so utilizatori – sò stati infettati da malware è bricked o resi permanentemente inutilizabili, lascendu i so utilizatori senza cunnessione.

Cum'è i citadini privati ​​simu abituati à pinsà chì l'attacchi di pirate di quale pudemu diventà vittime ponu causà danni assai gravi, ma principarmenti immateriali – perdita di dati, furtu d'identità, diffusione di a nostra infurmazione – è avemu imaginatu chì i cibercriminali chì attaccanu à attaccà è distrughje definitivamente un oggettu di hardware vultà a so attenzione esclusivamente à i guverni , l'urganisazioni o l'industrii.

È invece, à a so delusione comprensibile, 600 mila utenti privati ​​​​SOHO (Small Office Home Office) di un Fornitore di Serviziu Internet di i Stati Uniti anu scupertu ch'elli eranu a prima eccezione à a regula sopra, avè trovu in ogni mumentu cù u propiu router rottu è resu. permanentemente inutilizabile da un attaccu di pirate.

È, sicuru, senza una cunnessione Internet.

Chi hè successu

Hè grazia à una inchiesta di circadori di Lumen's Black Lotus Lab, iniziata à a fine di uttrovi 2023, chì hè statu scupertu chì per circa 72 ore trà u 25 è u 27 d'ottobre 2023, 600 mila routers appartene à un unicu Fornitore di servizii Internet (ISP). ) – currispundenti à quasi a mità di i so utilizatori – sò stati infettati da malware è bricked o rende permanentemente inutilizabili, lascendu i so utilizatori senza cunnessione.

L'inchiesta accuminciau precisamente à causa di u spike subitu in e dumande d'assistenza da l'utilizatori, chì tutti eranu di a listessa natura: u router mostrava un LED rossu fissu è ùn mostrava micca segni di vita.

I routers affettati sò i mudelli ActionTec T3200s, ActionTec T3260s è Sagemcom F5380 furniti da l'ISP.

Facendu riferimentu incruciatu di sti dati cù u codice unicu ASN (Numeri di Sistema Autònumu) attribuitu à l'ISP, hè statu pussibule di verificà chì u prublema avia affettatu un solu ISP.

Ancu s'è Black Lotus Labs ùn hà micca revelatu u so nome, parechji analisti avianu identificatu Windstream, un fornitore di servizii d'internet chì opera principalmente in i Stati Uniti è ancu guarantisci a cobertura à e zone rurale, cum'è l'ISP chì hè cascatu vittima di l'attaccu.

Cuntattatu da a stampa in nuvembre 2023, Windstream ùn vulia micca fà una dichjarazione

Eclissi di zucca

I ricercatori in Black Lotus Labs anu truvatu chì l'attaccu ciberneticu, chì chjamanu Pumpkin Eclipse, facia usu di una cumminazione di scripts è una carica utile, un malware cummerciale cunnisciutu Chalubo, capaci di scaricà è eseguisce cumandamenti LUA da un centru di cummandu è cuntrollu, in per espansione u numeru di funzioni chì ponu esse realizatu nantu à u dispusitivu.

U malware hè statu injectatu dopu à cumprumissu u dispusitivu, ma i circadori ùn anu pussutu capisce s'ellu hè accadutu sfruttendu una vulnerabilità in u dispusitivu o attraversu credenziali o interfacce amministrativi debbuli o digià cunnisciuti.

Una volta chì u dispusitivu hè stata cumprumessa, l'attaccu hè statu realizatu in duie tappe iniziate da tanti script, u ​​sicondu di quale hè quellu chì scarica è eseguisce Chalubo.

Chalubo poi hà permessu à l'attaccanti di criptà e cumunicazioni cù i servitori di cumandamentu è di cuntrollu C2 è eseguisce una seria d'altri azzioni, cumprese l'eliminazione di tutte l'istruzzioni eseguite, cumprese quelli chì permettenu à mudificà u firmware.

Per quessa, ùn era micca pussibule di ricustruisce a tecnica utilizata per disattivà permanentemente i routers.

E particularità di l'accidentu

In e so cunclusioni, i ricercatori di Lotus Black Labs stessi anu definitu l'avvenimentu cum'è "senza precedente" è i motivi per esse d'accordu cù sta definizione sò almenu duie volte:

● a dimensione: u voluminu di i dispusitivi affettati hè enormu sia in valore assolutu è, ancu di più, cunziddi chì cù questu attaccu i cibercriminali anu affettatu quasi a mità di l'utilizatori di l'ISP, furzendu à fà una spesa finanziaria enormosa per rimpiazzà l'equipaggiu ;

● a novità: ci hè solu un precedente di attacchi lanciati per disattivà l'equipaggiu di cunnessione Internet di u tipu Soho, quellu chjamatu AcidRain , chì però hè accadutu in u cuntestu di a guerra russa-ucraina è era evidentemente guidatu da motivazioni militari è obiettivi.

À queste valutazioni pudemu aghjunghje altre considerazioni utili per caratterizà l'attaccu specificu:

● i routers affettati sò di duie marche diverse è sò utilizati da diversi ISP, ma l'attaccu restava cunfinatu à un solu ISP, chì rende chjaru chì era una scelta cuscente è deliberata da l'attaccanti;

● u malware Chalubo hè un strumentu abbastanza flexibule chì pò esse usatu per creà botnets è di fà diverse tipi di attacchi cumpresi DDOS è in u stessu periodu di i rapporti di l'attaccu anu registratu altri attacchi non distruttivi fatti cù u stessu malware. Questu suggerisce chì l'instrumentu hè statu sceltu per fà l'attribuzione di u gestu più difficiule.

● sia l'absenza di analogie trà stu tipu d'attaccu è quelli tipicamenti aduttati da attori famosi è APT cum'è Volt Typhoon, è l'analisi realizatu da l'esperti di Lumen nantu à i botnets chì operanu in u periodu di l'attaccu portanu à l'esclusione di u statu. attori o stati -sponsorizzati da u gruppu di suspettati.

Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/cybersecurity/tutti-gli-effetti-del-cyberattacco-pumpkin-eclipse/ u Sun, 02 Jun 2024 07:10:21 +0000.