Por volta de outubro do ano passado, nos Estados Unidos da América, vários utilizadores de um serviço de internet chamado "Windstream" inundaram os fóruns de suporte da empresa com relatos de que os seus routers haviam deixado de funcionar, sem qualquer razão aparente. Os routers, após várias tentativas, não respondiam a nenhum tipo de restart ou qualquer outra tentativa de os reanimar.
Nas mensagens - que apareceram durante alguns dias a partir de 25 de outubro - muitos utilizadores da Windstream culparam a própria provedora de serviço de Internet pelo bloqueio em massa. Diziam que era o resultado da empresa ter enviado uma série de atualizações, que acabaram por "envenenar" os dispositivos.
Um relatório publicado esta quinta-feira pela empresa de segurança Black Lotus Labs, da Lumen Technologies, pode esclarecer alguns mistérios neste incidente, ao qual a Windstream ainda não ofereceu explicações.
Um ataque propositado
Os investigadores da firma de segurança, Black Lotus Labs, afirmaram que, durante um período de 72 horas, com início a 25 de outubro, houve um malware específico que eliminou mais de 600 mil routers ligados a um único número de sistema autónomo, pertencente a um provedor de Internet não identificado.
De acordo com a Black Lotus, os routers, estimados num mínimo de 600 mil foram eliminados por um agente desconhecido com motivações igualmente desconhecidas. Este agente tomou medidas deliberadas para encobrir o seu rasto, ao utilizar um malware de comodidade conhecido como Chalubo. Uma caraterística integrada no Chalubo permitiu ao ator executar scripts Lua personalizados nos dispositivos infetados. Os investigadores acreditam que o malware descarregou e executou este código, que substituiu permanentemente o firmware do router.
Com grande preocupação, os investigadores escreveram:
Ataques destrutivos desta natureza são altamente preocupantes, especialmente neste caso. Uma parte considerável da área de serviço deste ISP (Internet Service Provider) abrange comunidades rurais ou mal servidas; locais onde os residentes podem ter perdido o acesso a serviços de emergência, as empresas agrícolas podem ter perdido informações críticas da monitorização remota das colheitas durante a colheita e os prestadores de cuidados de saúde podem ter ficado sem acesso à tele-saúde ou aos registos dos pacientes. Escusado será dizer que a recuperação de qualquer rutura na cadeia de abastecimento é mais demorada em comunidades isoladas ou vulneráveis.
Não há muitos precedentes conhecidos de malware que elimine routers em massa da forma testemunhada pelos investigadores. O mais próximo poderá ter sido a descoberta em 2022 do AcidRain, o nome dado ao malware que derrubou 10 mil modems do provedor de Internet Viasat. Esta interrupção, que atingiu a Ucrânia e outras partes da Europa, foi programada para a invasão russa de Fevereiro de 2022.
Um representante da Black Lotus disse, numa entrevista, que os investigadores não podem excluir a hipótese de um Estado-nação estar por detrás deste incidente de limpeza de routers que afetou os serviços da Windstream. No entanto, até ao momento, estes dizem não conseguir fazer qualquer sobreposição entre os ataques e qualquer outro grupo de estados-nações dos quais a Black Lotus tenha informação.
Que se pode fazer nestes casos?
Sem uma ideia clara de como estes routers foram infetados, os investigadores só podem oferecer os conselhos genéricos habituais para manter os dispositivos livres de malware. Estes conselhos incluem a instalação de atualizações de segurança, a substituição de palavras-passe predefinidas por palavras-passe fortes e a reinicialização regular do próprio dispositivo. Os provedores de serviço de Internet e as outras organizações que gerem routers devem seguir conselhos adicionais para proteger as interfaces de gestão e administrar de forma efetiva os dispositivos.