Alrededor de octubre del año pasado, en los Estados Unidos de América, varios usuarios de un servicio de Internet llamado «Windstream» inundaron los foros de soporte de la empresa con informes de que sus enrutadores habían dejado de funcionar, sin motivo aparente. Los routers, tras varios intentos, no respondieron a ningún tipo de reinicio ni a ningún otro intento de reactivarlos.
En los mensajes, que aparecieron a lo largo de unos días a partir del 25 de octubre, muchos usuarios de Windstream culpaban al propio proveedor de servicios de Internet por el bloqueo masivo. Dijeron que fue el resultado de que la empresa envió una serie de actualizaciones, que terminaron «envenenando» los dispositivos.
Un informe publicado este jueves por la empresa de seguridad Black Lotus Labs, de Lumen Technologies, puede aclarar algunos misterios de este incidente, para el que Windstream aún no ha ofrecido una explicación.
Un ataque intencionado
Los investigadores de la firma de seguridad Black Lotus Labs dijeron que durante un período de 72 horas a partir del 25 de octubre, un malware específico eliminó más de 600.000 enrutadores vinculados a un único número de sistema autónomo perteneciente a un proveedor de Internet no identificado.
Según Black Lotus, los routers, estimados en un mínimo de 600 mil, fueron eliminados por un agente desconocido con motivaciones igualmente desconocidas. Este actor tomó medidas deliberadas para cubrir sus huellas mediante el uso de un malware de conveniencia conocido como Chalubo. Una característica integrada en Chalubo permitió al actor ejecutar scripts Lua personalizados en dispositivos infectados. Los investigadores creen que el malware descargó y ejecutó este código, que reemplazó permanentemente el firmware del enrutador.
Con gran preocupación, los investigadores escribieron:
Los ataques destructivos de esta naturaleza son muy preocupantes, especialmente en este caso. Una porción considerable del área de servicio de este ISP (Proveedor de Servicios de Internet) cubre comunidades rurales o desatendidas; lugares donde los residentes pueden haber perdido el acceso a los servicios de emergencia, las empresas agrícolas pueden haber perdido información crítica del monitoreo remoto de los cultivos durante la cosecha y los proveedores de atención médica pueden haberse quedado sin acceso a la telesalud o a los registros médicos de los pacientes. No hace falta decir que la recuperación de cualquier interrupción de la cadena de suministro lleva más tiempo en las comunidades aisladas o vulnerables.
No hay muchos precedentes conocidos de que el malware derribe enrutadores en masa como lo han presenciado los investigadores. Lo más cercano puede haber sido el descubrimiento en 2022 de AcidRain, el nombre que recibió el malware que derribó 10.000 módems del proveedor de Internet Viasat. Esta interrupción, que afectó a Ucrania y otras partes de Europa, se programó para la invasión rusa de febrero de 2022.
Un representante de Black Lotus dijo en una entrevista que los investigadores no pueden excluir la posibilidad de que un estado-nación esté detrás de este incidente de borrado del enrutador que afectó los servicios de Windstream. Sin embargo, hasta ahora, dicen que no pueden hacer ninguna superposición entre los ataques y cualquier otro grupo de estados-nación sobre los cuales Black Lotus tiene información.
¿Qué se puede hacer en estos casos?
Sin una idea clara de cómo se infectaron estos enrutadores, los investigadores sólo pueden ofrecer los consejos genéricos habituales para mantener los dispositivos libres de malware. Este consejo incluye instalar actualizaciones de seguridad, reemplazar las contraseñas predeterminadas por otras seguras y reiniciar periódicamente el dispositivo. Los proveedores de servicios de Internet y otras organizaciones que administran enrutadores deben seguir consejos adicionales para proteger las interfaces de administración y administrar los dispositivos de manera efectiva.