Pumpkin Eclipse: El misterioso ciberataque que sacó de servicio a 600.000 routers Wi-Fi en EEUU

Un ciberataque masivo prácticamente sacó de servicio a cientos de miles de routers de internet en los estados centrales de EE.UU. a fines del año pasado. Según una investigación de Black Lotus Labs , los ciberdelincuentes utilizaron métodos simples pero extremadamente efectivos para evadir la detección. El código malicioso continuó propagándose en la red incluso meses después del ataque, ya que los enlaces a los archivos maliciosos permanecieron abiertos en internet.

Los analistas de Lumen Technologies detectaron el incidente en los últimos meses e informaron sobre él en su blog, denominándolo "Pumpkin Eclipse". El hackeo de octubre, del que no se informó durante más de seis meses, provocó la desconexión de más de 600.000 routers de internet. Expertos independientes consideran que este ciberataque fue uno de los más graves que haya afectado al sector de las telecomunicaciones estadounidense, dada la cantidad de dispositivos desconectados y de usuarios afectados.

El informe no menciona la compañía afectada, ni el país o grupo específico al que se atribuye el hackeo. Probablemente, los ciberdelincuentes estaban principalmente interesados en dos modelos específicos de routers: T3200 y T3260 de ActionTec.

Los routers fueron sacados de servicio por una actualización de firmware maliciosa que fue enviada a los clientes de una compañía específica y eliminó partes del código operativo de los dispositivos después de la instalación. El método de entrega de la actualización sigue sin estar claro.

Sin embargo, durante el análisis se descubrió que la principal herramienta utilizada en el ataque fue Chalubo, un conocido troyano de acceso remoto (RAT). Detectado por primera vez en 2018, enmascaraba muy hábilmente su actividad: eliminaba todos los archivos del disco, tomaba un nombre de proceso aleatorio ya existente en el dispositivo y cifraba todas las comunicaciones con el servidor de comando y control. Esto explica por qué se sabía muy poco sobre la familia de malware Chalubo hasta ahora.

Según la telemetría global de Lumen, el malware Chalubo estuvo particularmente activo en noviembre de 2023. Durante un período de 30 días en octubre, Lumen registró más de 330.000 direcciones IP únicas que interactuaron con uno de los 75 servidores de comando y control observados durante al menos dos días. Se puede suponer que, si bien el troyano se utilizó en el ataque contra los routers, no fue diseñado específicamente para ese propósito. Es más probable que los ciberdelincuentes eligieran software ampliamente conocido para dificultar la identificación de su identidad y evitar la atribución del ataque, en lugar de usar herramientas desarrolladas específicamente.

La correlación de detalles y descripciones de eventos en el informe de Lumen con las interrupciones de Internet en las fechas indicadas sugiere que el objetivo del ataque fue el proveedor de Internet Windstream con sede en Arkansas. Un representante se negó a comentar la situación. Además de las quejas de los usuarios en Reddit, prácticamente no hubo información pública sobre lo sucedido en las redes sociales. Es probable que Windstream deliberadamente no divulgara información sobre el hackeo, ya que las empresas privadas a menudo prefieren mantener en secreto los incidentes importantes.

El FBI, la NSA y el Departamento de Seguridad Nacional de EE.UU. no confirmaron esta información, redirigiendo todas las consultas al FBI. Es posible que se esté llevando a cabo una investigación, pero los detalles no se divulgan.

Los investigadores caracterizaron las posibles consecuencias del ataque como extremadamente graves: "El área de impacto incluye muchas áreas rurales y comunidades de bajos ingresos. Sus residentes podrían haber perdido la conexión con los servicios de emergencia, las empresas agrícolas, el control sobre el proceso de cosecha, el acceso a los servicios de telemedicina y los datos de los pacientes".

En octubre, los usuarios de Reddit informaron que sus routers no podían conectarse al proveedor de Internet, lo que provocaba una pérdida total de acceso a la red. Según ellos, Windstream exigió en ese momento devolver los dispositivos fuera de servicio para reemplazarlos por otros nuevos, ya que aparentemente era imposible restaurarlos de forma remota.