Ouvrir le menu principal

MacGeneration

Recherche

De nombreux mystères autour d'une attaque qui a détruit 600 000 box d'un FAI américain

Pierre Dandumont

vendredi 31 mai 2024 à 19:15 • 95

Ailleurs

À la fin du mois d'octobre 2023, un événement un peu particulier a été détecté aux États-Unis : plus de 600 000 modems d'un fournisseur d'accès (Windstream) sont tombés en panne en quelques jours. Et l'analyse de cette Pumpkin Eclipse (en référence à la date, proche d'Halloween) est intéressante.

Une illustration de l'attaque, par Black Lotus Lab

Black Lotus Lab donne quelques détails sur cette attaque — il ne s'agit pas d'une erreur du FAI — et ils ne sont pas très rassurants. Pour commencer, un peu de contexte. L'attaque a commencé le 25 octobre 2023, chez un FAI qui cible en partie des zones rurales dans de nombreux États et fournit donc un service qui est parfois essentiel pour ses clients. Les plaintes des utilisateurs deviennent vite nombreuses, avec un point commun : les boîtiers ActionTec T3200, T3260 et Sagemcom F5380 sont touchés.

Il ne s'agit pas d'une simple attaque ou d'un problème temporaire : les appareils ne démarrent plus et la panne suggère un problème de firmware, le logiciel interne du modem. Si les premiers retours faisaient penser à une erreur du FAI qui aurait par exemple envoyé une mise à jour défaillante, le fait que trois modèles soient touchés tend à faire penser à une attaque. Les chercheurs indiquent que le FAI — qui gère 1,6 million de clients — a donc dû visiblement remplacer environ 600 000 modems, et c'est une estimation prudente.

Nos confrères expliquent que le malware employé pour attaquer les différents appareils et a priori effacer le firmware porte le nom de Chalubo et qu'il ne s'agit pas de sa fonction première. Il est toujours en circulation et sert essentiellement à lancer des scripts sur des appareils infectés, par exemple pour les employer lors d'attaques DDOS. La destruction probablement volontaire de nombreux appareils reste quelque chose de rare et la seule occurrence réellement documentée est une attaque nommée AcidRain : en 2022, au début de l'invasion de l'Ukraine par la Russie, 10 000 modems satellites avaient été mis hors service. Ensuite, l'attaque a été très ciblée : alors que les tentatives pour transformer des modems en bots visent généralement un modèle précis d'appareils, ce n'était pas le cas ici. La Pumpkin Eclipse visait un FAI précis, sur plusieurs modèles de modems.

Un schéma d'une partie du fonctionnement du malware (image Black Lotus Lab)

Dans les faits, plusieurs mois après l'attaque, Black Lotus Lab prend des pincettes : l'enquête est incomplète, notamment parce qu'ils n'ont pas pu obtenir un des routeurs attaqués et détruits et ne savent donc pas exactement comment a été menée l'attaque ni même comment le malware a pu effacer le firmware. Mais ils sous-entendent tout de même qu'il pourrait s'agir d'une attaque menée par un État, ou liée à un État, sans réellement comprendre le but derrière toute la manœuvre.

Terminons par un point : si les FAI américains emploient généralement des modems issus de différents fabricants, ce qui est bien visible ici, ce n'est pas le cas dans d'autres pays comme en France. Chez nos FAI, l'offre est un peu plus uniforme, même si les fournisseurs gardent souvent plusieurs générations de box en circulation. Mais cette uniformisation pourrait être un souci en cas d'attaque, si une faille permet à un malware d'accéder à un modèle précis d'appareils.

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine

Incogni : une promotion fantastique pour le Black Friday, foncez ! 📍

11:35


Tim Cook revient en Chine pour la 3e fois de l'année

11:20

• 4


Outlook, Exchange et le calendrier de Teams sont en panne

11:11

• 11


Black Friday : de grosses remises sur les Magic Mouse (60 €) et Magic Keyboard USB-C

10:10

• 4


Les haut-parleurs des MacBook Pro 14" et 16" Apple Silicon seront moins couteux à réparer

09:48

• 0


Google Chrome : ça vaut combien ?

08:43

• 22


Entre l’Apple TV, l’AirPods Max et Intel, la semaine d’Apple ne manque pas de rebondissements

07:55


Les meilleures promos du Black Friday : AirPods Pro 2 et serrure HomeKit à 199 €, Apple Pencil…

24/11/2024 à 19:05

• 20


Black Friday : MacBook Air M2 à 879 € et M3 dès 979 €

24/11/2024 à 18:45

• 7


Black Friday : les AirPods Pro 2 maintenant à 199 €, un prix jamais vu 🆕

24/11/2024 à 12:56


La maison au soleil : test du système SOLIX d’Anker, le solaire avec batterie

24/11/2024 à 10:04


Apple et la mémoire flash, une longue histoire d'amour

23/11/2024 à 11:00

• 27


Sortie de veille : télé Apple et iPhone 17 ultra-fin, des rumeurs folles ou crédibles ?

23/11/2024 à 08:00

• 0


Intrusion informatique, quand une entreprise joue le jeu de la communication ouverte

22/11/2024 à 20:45

• 17


Le SSD de certains MacBook Pro M4 Max atteint presque 11 Go/s

22/11/2024 à 20:30

• 18


Test du système mesh Wi-Fi 7 Netgear Orbi 970 : une poignée de mégabits, pour quelques centaines d’euros de plus

22/11/2024 à 17:00

• 13