Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Massiccio attacco informatico. Pumpkin Eclipse blocca 600.000 router Windstream con malware Chalubo

RHC Dark Lab : 23 Giugno 2024 09:41

Lo scorso ottobre gli utenti del provider Internet Windstream si sono lamentati in massa del fatto che i loro router si sono bloccati improvvisamente, non rispondendo più ai riavvii e ad ogni altro tentativo di ripristino.

Come hanno scoperto i ricercatori, questo massiccio attacco, chiamato Pumpkin Eclipse (“Pumpkin Eclipse”, perché è accaduto tutto alla vigilia di Halloween), ha colpito più di 600.000 dispositivi e ha utilizzato il malware Chalubo.

Secondo i ricercatori dei Black Lotus Labs di Lumen , che hanno osservato l’incidente dal 25 al 27 ottobre 2023, l’accesso a Internet ha smesso di funzionare per gli utenti in molti stati, tra cui Iowa, Alabama, Arkansas, Georgia e Kentucky.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?

Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

“Ora i nostri router restano semplicemente lì con il pannello frontale che emette una luce rossa fissa”, ha scritto un utente interessato sui router ActionTec T3200 che Windstream ha fornito a lui e a un vicino. “Non rispondono nemmeno al pulsante RESET.”

“Abbiamo tre figli ed entrambi lavoriamo da casa”, ha detto un’altra vittima sullo stesso forum. — Questo tempo di inattività ci è costato 1.500 dollari, tenendo conto della perdita di affari, della mancanza di TV, Wi-Fi, ore trascorse al telefono e così via. È così triste che un’azienda possa trattare i clienti in questo modo.”

Di conseguenza, Windstream è stata costretta a sostituire urgentemente i router interessati, fornendo agli utenti nuovi dispositivi.

Nonostante la sua portata, l’incidente è stato di portata limitata e ha interessato un ISP e tre modelli di router utilizzati da tale azienda: ActionTec T3200s, ActionTec T3260s e Sagemcom F5380. Secondo i ricercatori, in seguito alla Pumpkin Eclipse il numero degli apparecchi Windstream funzionanti è diminuito del 49%, il che significa che è stata colpita quasi la metà degli abbonati del provider.

“Black Lotus Labs ha identificato un incidente devastante: più di 600.000 router SOHO appartenenti a un fornitore di servizi Internet sono stati disabilitati. L’incidente è durato 72 ore tra il 25 e il 27 ottobre e ha provocato il guasto permanente dei dispositivi infetti, richiedendone la sostituzione”, affermano gli analisti nel rapporto pubblicato.

I ricercatori non sono stati in grado di rilevare la vulnerabilità utilizzata per ottenere l’accesso iniziale ai router, quindi si ritiene che gli aggressori abbiano utilizzato uno 0-day sconosciuto o credenziali deboli in combinazione con un’interfaccia amministrativa aperta.

Nella prima fase, il payload era lo script bash get_scrpc, che è stato eseguito per ottenere il secondo script get_strtriiush, responsabile dell’estrazione e dell’esecuzione del payload principale: il malware Chalubo (mips.elf).

Si noti che Chalubo viene eseguito in memoria per evitare il rilevamento, utilizza la crittografia ChaCha20 per comunicare con i suoi server di controllo e cancella anche tutti i file dal disco e modifica il nome del processo dopo l’avvio.

Un utente malintenzionato può inviare comandi al bot tramite script Lua, che consentono l’esfiltrazione di dati, il caricamento di moduli aggiuntivi o l’iniezione di nuovi payload nel dispositivo infetto.

Dopo l’esecuzione e una pausa di 30 minuti necessaria per bypassare i sandbox, il malware raccoglie informazioni sull’host, inclusi indirizzo MAC, ID, tipo e versione del dispositivo e indirizzo IP locale. Allo stesso tempo, Chalubo non sa come prendere piede nel sistema, quindi il riavvio del router infetto interrompe il funzionamento del malware.

Va inoltre notato che Chalubo è dotato di funzionalità per organizzare attacchi DDoS, sebbene i ricercatori non abbiano osservato tale attività dalla botnet.

Secondo i dati di telemetria di Black Lotus Labs, tra il 3 ottobre e il 3 novembre 2024, Chalubo ha utilizzato 45 pannelli dannosi che comunicavano con 650.000 indirizzi IP univoci, la maggior parte dei quali si trovava negli Stati Uniti.

Solo uno di questi pannelli è stato utilizzato in un attacco devastante contro un ISP americano, quindi i ricercatori ritengono che un utente malintenzionato abbia acquisito l’accesso a Chalubo appositamente allo scopo di installare malware distruttivo sui router Windstream.

RHC Dark Lab
RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello, Edoardo Faccioli e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.

Lista degli articoli

Articoli in evidenza

Addio star di carne e ossa? Arriva Tilly Norwood, la prima attrice AI!
Di Redazione RHC - 30/09/2025

In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...

Da user a root in un secondo! il CISA avverte: milioni di OS a rischio. Patchate!
Di Redazione RHC - 30/09/2025

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...

Gestione della crisi digitale: la comunicazione è la chiave tra successo o fallimento
Di Redazione RHC - 30/09/2025

Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...

Un’estensione barzelletta e cade Chat Control! Houston, abbiamo un problema… di privacy
Di Sergio Corpettini - 30/09/2025

Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...

0-day 0-click su WhatsApp! un’immagine basta per prendere il controllo del tuo iPhone
Di Redazione RHC - 29/09/2025

Qualche produttore di spyware starà probabilmente facendo ginnastica… strappandosi i capelli. Ma ormai è il solito teatrino: c’è chi trova, chi incassa, chi integra e poi arriva il ricercatore ...