Un ciberataque fue el responsable de un incidente el año pasado que deshabilitó más de 600 000 routers de internet en varios estados del medio oeste de Estados Unidos, entre el 25 y 27 de octubre, según una nueva investigación publicada por Black Lotus Labs, el brazo de investigación de amenazas de Lumen Technologies. El incidente no se divulgó en su momento, a pesar de que cientos de miles de routers quedaron inoperativos.
La investigación no especificó qué empresa fue el objetivo del ciberataque, pero Reuters ha identificado a Windstream, un proveedor de servicios de internet con sede en Arkansas, como la empresa afectada, basándose en la comparación de los informes de interrupciones de internet durante el mismo período. Windstream cubre muchas comunidades rurales o desatendidas, según The Verge.
Black Lotus Labs inició la investigación tras repetidas quejas en redes sociales y detectores de interrupciones sobre routers específicos, particularmente los modelos ActionTec T3200 y ActionTec T3260. Los usuarios informaron que sus problemas solo se resolvieron cuando su proveedor reemplazó los dispositivos afectados.
El paquete de firmware malicioso que eliminó partes del código operativo en los routers afectados fue identificado como “Chalubo”, un troyano de acceso remoto. No está claro cómo se distribuyó el firmware a los clientes, si a través de una vulnerabilidad desconocida, credenciales débiles o acceso a herramientas administrativas, ni quién fue el responsable del ataque, que los investigadores describen como “un acto deliberado destinado a causar una interrupción”.
Aunque aún quedan algunos misterios por resolver, Black Lotus Labs recomienda a las organizaciones asegurar los dispositivos de gestión y evitar debilidades de seguridad básicas como contraseñas predeterminadas. También se alienta a los consumidores a mantenerse al día con las actualizaciones de seguridad regulares.
