Ničivý dopad na infrastrukturu byl letos zaznamenán poté, co masivní infekce během několika hodin zničila 600 000 zařízení.
Záhadný způsobil chaos v infrastruktuře významného poskytovatele internetových služeb (ISP). Situace postihla americkou společnost Windstream v říjnu loňského roku. Podrobnosti vyšly až o mnoho měsíců později díky zveřejnění zprávy bezpečnostní firmy Lumen Technologies Black Lotus Lab. Dokument podrobně popisuje, co se stalo 25. října 2023, kdy bylo více než půl milionu routerů zcela vyřazeno z provozu, což lze považovat za katastrofickou událost.
Tento kybernetický útok zanechal statisíce uživatelů bez připojení k internetu a vyvolal mezi odborníky na kybernetickou bezpečnost značné znepokojení. Důvodem k obavám byla propracovanost a rychlost útoku, neboť svědčí o bezprecedentní úrovni koordinace a přesnosti. Předběžná vyšetřování naznačují, že malware byl speciálně navržen tak, aby využíval zranitelnosti v síťových zařízeních postiženého poskytovatele internetových služeb.
Zničení infrastruktury za pouhé tři dny
Během 72 hodin se malwaru podařilo vyřadit přibližně 600 000 směrovačů, což představuje značnou část provozních zařízení v síti poskytovatele internetových služeb. Taková míra zničení je neobvyklá a vedla k rychlé reakci úřadů a bezpečnostních expertů. Postižený poskytovatel internetu úzce spolupracuje s týmy pro řešení incidentů a firmami zabývajícími se kybernetickou bezpečností, aby zmírnil škody.
Simulace způsobu, jakým malware Chalubo přepsal firmware napadených routerů | Foto: Lumen Technologies Black Lotus Labs
Vyšetřování pokračuje s cílem zjistit přesný zdroj a účel malwaru. Zatím se nepodařilo zjistit, kdo za útokem stojí, ale koordinovaná povaha útoku naznačuje možnost, že jde o operaci podporovanou státem nebo organizovanou zločineckou skupinou. Odborníci analyzují vzorky malwaru, aby lépe porozuměli jeho fungování a mohli vyvinout účinná protiopatření.
Experti netuší, jak k rozsáhlému útoku došlo
Mezi postižené routery patří 179 000, respektive 480 000 modelů ActionTec a Sagemcom. Rozsah již způsobených škod znamená, že proces obnovy je složitý a zdlouhavý. Kromě toho byl k vymazání stop po útoku použit malware Chalubo, který spouští skripty přepisující firmware routeru.
Nejhorší na celé situaci je, že není vůbec známo, jak mohla být tato masivní infekce provedena. Výzkumníci uvádějí, že je třeba ještě hodně práce, aby se zjistilo, jak to bylo provedeno, protože zranitelnosti těchto postižených směrovačů nejsou známy.