Vitrée brisée

4 8 15 16 23 42

Pumpkin Eclipse ou la mise hors service de 600 000 modems par une attaque

Vitrée brisée

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Fin octobre 2023, 600 000 routeurs domestiques ont disparu du parc du fournisseur d’accès Windstream, aux États-Unis. L’évènement a été nommé Pumpkin Eclipse. Selon le compte-rendu d’une société de sécurité, il s’agissait bien d’une attaque coordonnée. Mais la méthode reste en partie mystérieuse.

À partir du 25 octobre dernier, les chercheurs en sécurité de chez Black Lotus Labs (Lumen Technologies) repèrent un nombre croissant de commentaires allant dans le même sens : le modem ne fonctionne plus. Alors que le nombre augmente, les chercheurs observent un premier phénomène mystérieux : la panne croissante ne semble affecter que trois modèles d’appareils, les T3200/T3260s d’ActionTec et le F5380 de Sagemcom.

Autre caractéristique du problème, les pannes ne surviennent que chez les clients du fournisseur d’accès Windstream. Sur le moteur de recherche Censys, les chercheurs observent une chute spectaculaire de 49 % des appareils connectés à internet chez ce FAI. Les témoignages font état d’appels au service client se solvant par l’obligation de remplacer l’appareil défectueux.

Mauvaise manipulation du fournisseur d’accès ? Déploiement d’une mise à jour défectueuse ? Il s’agissait en fait d’une attaque, déclare Black Lotus Labs.

Au moins 600 000 modems hors service

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Commentaires (14)


Merci pour l'article ! Cela laisse perplexe sur pleins d'aspects :(
Je suppose que Windstream n'a pas participé ou a refusé. Si c'est le cas, selon moi, l'hypothèse d'un acte malveillant d'un employé est aussi probable. Pas besoin de faille, juste de l'accès au système de mise à jour des firmwares. Et ça expliquerait peut-être pourquoi Windstream refuse de participer.
- Malveillance
- Développement foireux, "qui a testé le code du stagiaire de ChatGPT qui vient de monter en prod ?"

=> ça n'explique pas trop les outils de hack pour effacer les traces...

Problème de sécurité / négligence côté FAI :
- accès distant mal sécurisé du FAI vers ses modems,
- mdp "root" commun (toutes les livebox 2 d'orange le login / mdp était admin/admin pour tout le monde !!!)
- Exploitation de failles dans le module personnalisé du FAI ajouté dans les firmwares

On peut aussi partir côté intentionnel :
- hack +/- étatique avec un dev qui a caché volontairement une backdoor (cf xz-utils assez récemment)
- backdoor de l'état qui aurait été exploité par un tiers : par ex FISA, on sait que les FAI doivent surveiller les clients étrangers, mais on ne connait pas le moyen.
Un acteur étatique à l'origine de cette attaque est très probable à mon avis. Avec possible complicité interne à Windstream. Voilà qui ne présage rien de bon à l'avenir.
Probablement que depuis le temps que depuis le temps l'agent en question aurait été identifié, ils ne doivent pas être si nombreux à pouvoir toucher à ça et si c'était un chinois ou un russe la CIA l'aurait déjà transformé en monnaie d'échange.
Quand à l'opérateur derrière, il vaut mieux qu'il mette l'étouffoir, oui.
Sinon, on est sensés savoir ce que c'est que l'offre kinetic ?
Modifié le 01/06/2024 à 10h45

Historique des modifications :

Posté le 01/06/2024 à 10h42


Probablement que depuis le temps que depuis le temps l'agent en question aurait été identifié, ils ne doivent pas être si nombreux à pouvoir toucher à ça et si c'était un chinois ou un russe la CIA l'aurait déjà transformé en monnaie d'échange.
Quand à l'opérateur derrière, il vaut mieux qu'il mette l'étouffoir, oui.

Les chercheurs n’ont pas pu récupérer de routeur attaqué et n’ont donc pas de preuve directe de certains éléments.


Si je comprends bien, tout n'est que suppositions puisque le FAI n'a pas collaboré et que les chercheurs n'ont même pas pu étudier 1 seul modem sur les 600 000 touchés.
Ça me parait aberrant de sortir une "étude" comme ça basée sur rien !
si j'ai loupé un truc, j'aimerais bien comprendre...
Tu as lu leur article sur leur blog ?

En gros, ils ont identifié le premier serveur permettant de charger une première "charge" en analysant le trafic internet venant de ce FAI. Ils sont capables de faire ceci parce qu’ils ont un "bakcbone Internet" sur lequel ils capturent du trafic qu'ils peuvent analyser plus tard :
We have that global internet backbone where we collect 200B netflow sessions per day, which allows us to parse through this data and look for who exactly is being infected.”


Le serveur avait un répertoire "ouvert", ce qui leur a permis d'analyser la charge du bot. Et en analysant ce que faisait cette première charge, ils on pu comprendre la suite de ce qu'ils ont expliqué. Par contre, ils ne savent pas comment les modems ont été infectés au départ justement parce qu'ils n'ont pas eu accès physiquement aux modems attaqués. De toute façon, il ne devait pas rester de trace.

Leur article de blog est justement intéressant parce qu'il permet de voir tout ce que l'on peut apprendre juste en commençant par observer du trafic. Ils ont eu la chance que le serveur identifié était mal configuré et permettait d'accéder à un répertoire.

Donc, OK, ils ne savent pas tout, mais ce qu'ils ont appris est assez fort quand même.

fred42

Tu as lu leur article sur leur blog ?

En gros, ils ont identifié le premier serveur permettant de charger une première "charge" en analysant le trafic internet venant de ce FAI. Ils sont capables de faire ceci parce qu’ils ont un "bakcbone Internet" sur lequel ils capturent du trafic qu'ils peuvent analyser plus tard :
We have that global internet backbone where we collect 200B netflow sessions per day, which allows us to parse through this data and look for who exactly is being infected.”


Le serveur avait un répertoire "ouvert", ce qui leur a permis d'analyser la charge du bot. Et en analysant ce que faisait cette première charge, ils on pu comprendre la suite de ce qu'ils ont expliqué. Par contre, ils ne savent pas comment les modems ont été infectés au départ justement parce qu'ils n'ont pas eu accès physiquement aux modems attaqués. De toute façon, il ne devait pas rester de trace.

Leur article de blog est justement intéressant parce qu'il permet de voir tout ce que l'on peut apprendre juste en commençant par observer du trafic. Ils ont eu la chance que le serveur identifié était mal configuré et permettait d'accéder à un répertoire.

Donc, OK, ils ne savent pas tout, mais ce qu'ils ont appris est assez fort quand même.
Merci pour la mise au point ! Je n'avais pas compris tout ça en lisant l'article ici et je ne suis pas aller lire leur blog.

fred42

Tu as lu leur article sur leur blog ?

En gros, ils ont identifié le premier serveur permettant de charger une première "charge" en analysant le trafic internet venant de ce FAI. Ils sont capables de faire ceci parce qu’ils ont un "bakcbone Internet" sur lequel ils capturent du trafic qu'ils peuvent analyser plus tard :
We have that global internet backbone where we collect 200B netflow sessions per day, which allows us to parse through this data and look for who exactly is being infected.”


Le serveur avait un répertoire "ouvert", ce qui leur a permis d'analyser la charge du bot. Et en analysant ce que faisait cette première charge, ils on pu comprendre la suite de ce qu'ils ont expliqué. Par contre, ils ne savent pas comment les modems ont été infectés au départ justement parce qu'ils n'ont pas eu accès physiquement aux modems attaqués. De toute façon, il ne devait pas rester de trace.

Leur article de blog est justement intéressant parce qu'il permet de voir tout ce que l'on peut apprendre juste en commençant par observer du trafic. Ils ont eu la chance que le serveur identifié était mal configuré et permettait d'accéder à un répertoire.

Donc, OK, ils ne savent pas tout, mais ce qu'ils ont appris est assez fort quand même.
je me demande juste comment ces gens de black lotus peuvent se permettre de capturer du netflow sur internet ? si c'est ainsi que ça se passe .
Au minimum c'est inquiétant, au maximum révoltant.

brupala

je me demande juste comment ces gens de black lotus peuvent se permettre de capturer du netflow sur internet ? si c'est ainsi que ça se passe .
Au minimum c'est inquiétant, au maximum révoltant.
C'est un peu le "boulot" d'un Lab
Mettre en place les conditions pour capturer le flux dans un cadre maitrisé (ex : brancher un nouveau modem avec entre la prise et l'équipement, de quoi capturer tout ce qui passe par ex) ou travailler vers l'opérateur

eres

C'est un peu le "boulot" d'un Lab
Mettre en place les conditions pour capturer le flux dans un cadre maitrisé (ex : brancher un nouveau modem avec entre la prise et l'équipement, de quoi capturer tout ce qui passe par ex) ou travailler vers l'opérateur
J'ajoute qu'ils font partie de Lumen Technologies qui est une société telecom qui a entre autre racheté Level3 Communications qui était un Opérateur Tiers 1.
Ils ont donc les moyens de voir beaucoup de trafic.

fred42

J'ajoute qu'ils font partie de Lumen Technologies qui est une société telecom qui a entre autre racheté Level3 Communications qui était un Opérateur Tiers 1.
Ils ont donc les moyens de voir beaucoup de trafic.
Précision importante en effet.
Level3 est le transitaire Tiers 1 avec le plus grand nombre de routes directes au monde.

fred42

J'ajoute qu'ils font partie de Lumen Technologies qui est une société telecom qui a entre autre racheté Level3 Communications qui était un Opérateur Tiers 1.
Ils ont donc les moyens de voir beaucoup de trafic.
ah ok, le pompage netflow serait en interne alors ...
C'était le mauvais firmware pour ces versions qui n'était pas censées être attaquées, mais le firmware vérolé a été installé sur tout les bon modèles. Et c'est clairement une attaque ratée... La plupart du temps. Le fimware est remplacé en silence... Et c'est comme ça que tout le monde espionne tout le monde
Fermer