Im Oktober letzten Jahres wurden die Abonnenten des Internetanbieters Windstream von einem massiven Routerausfall heimgesucht, von dem rund 600.000 Geräte in 18 US-Bundesstaaten betroffen waren.
Zunächst machten viele Kunden das Unternehmen für den weit verbreiteten Systemausfall verantwortlich, doch später stellte sich heraus, dass etwas ganz anderes vor sich ging, nachdem die Geräte auf Neustarts und andere Versuche, sie wieder zum Laufen zu bringen, nicht reagierten.
Auf Online-Foren machten die Nutzer ihrem Ärger Luft und schilderten ihre eigenen Erfahrungen mit dem ActionTec T3200, der nur ein rotes Licht anzeigte und sonst kaum etwas. Von Alabama und Arkansas bis Georgia und Kentucky waren Menschen von der Außenwelt abgeschnitten. Einige berichteten von Einkommensverlusten, weil sie nicht von zu Hause aus arbeiten konnten. Ein Kunde von Windstream berichtete, dass er wegen des fehlenden WiFi und der stundenlangen Fehlersuche 1.500 Dollar verloren habe.
Das Unternehmen tauschte die defekten Router aus, aber bis zu einem kürzlich veröffentlichten Bericht der Black Lotus Labs des Cybersicherheitsunternehmens Lumen Technologies gab es kaum eine Erklärung.
Die Untersuchung deckte ein „zerstörerisches Ereignis“ auf, für das Windstream noch immer keine Erklärung hat.
Es stellte sich heraus, dass innerhalb von 72 Stunden ab dem 25. Oktober Malware eingesetzt wurde, um mehr als 600.000 Router zu zerstören, die mit einer einzigen Autonomen Systemnummer (ASN) verbunden waren, die zu einem nicht genannten ISP gehörte.
Möglicherweise landesweiter Angriff
Zufall? Obwohl das Forschungsteam den betroffenen ISP nicht namentlich nannte, passt die Situation zu dem von Windstream-Abonnenten gemeldeten Massen-Bricking und dem Zeitrahmen ihrer Kommentare in den Foren.
Eine als Chalubo bekannte Malware infizierte die Router und führte benutzerdefinierte Lua-Skripte aus, die die Firmware dauerhaft überschrieben und die Geräte redundant machten.
Zerstörerische Angriffe dieser Art sind äußerst besorgniserregend, insbesondere in diesem Fall”, so die Forscher.
„Ein beträchtlicher Teil des Einzugsgebiets dieses ISPs umfasst ländliche oder unterversorgte Gemeinden, in denen die Bewohner möglicherweise keinen Zugang zu Notfalldiensten haben, landwirtschaftliche Betriebe wichtige Informationen aus der Fernüberwachung der Ernte verloren haben und Gesundheitsdienstleister von der Telemedizin oder Patientenakten abgeschnitten sind.”
„Es liegt auf der Hand, dass die Erholung von einer Unterbrechung der Versorgungskette in isolierten oder gefährdeten Gemeinschaften länger dauert.”
Die Forscher wiesen darauf hin, dass wahrscheinlich ein hochentwickelter Bedrohungsakteur verantwortlich ist, möglicherweise ein staatlich gesponserter Angriff, ohne näher darauf einzugehen. Nach eingehender Analyse bleibt der ursprüngliche Infektionsvektor unbekannt, obwohl eine Reihe von Möglichkeiten in Betracht gezogen werden.
Windstream hat noch immer keine detaillierte Antwort oder Erklärung zu den Vorfällen gegeben und lässt die Fragen der Kunden unbeantwortet, während Sicherheitsexperten ebenfalls nach weiteren Antworten zu diesem bedeutenden und einzigartigen Cyberangriff suchen.