Mysteriöse Malware zerstört Hunderttausende Router

31.05.2024

Sicherheitsforscher*innen haben noch keinen vergleichbaren Angriff dieses Ausmaßes gesehen.

Auf einen Schlag sind im vergangenen Oktober mindestens 600.000 Router des US-Internetanbieters Windstream ausgefallen. Wie Nutzer*innen in entsprechenden Foren anmerkten, lies sich das Problem nicht durch einen Neustart oder durch Zurücksetzen lösen.

Die betroffenen Modelle stammten von den Herstellern ActionTec und Sagemcom und zeigten nur noch eine rote Lampe an als Indikator, dass sie nicht aktiv waren. Windstream hat in den USA 1,6 Millionen Kund*innen. Die Betroffenen beschuldigten zunächst die Firma, sie habe die Router mit einem Update unbrauchbar gemacht.

➤ Mehr lesen: Behörden warnen vor mehr Cyberangriffen durch KI

Die "Kürbis-Finsternis"

Windstream reagierte und verschickte neue Router. Wie das Black Lotus Lab der Sicherheitsfirma Lumen Technologies jetzt aufklärte, war aber Schadsoftware für den Ausfall verantwortlich. Sie nennen das Event „The Pumpkin Eclipse“ (Die Kürbis-Finsternis).

Die Statistik zeigt den Ausfall der betroffenen Router. Nach dem 27. Oktober waren sie nicht mehr verbunden

© Black Lotus Labs

Innerhalb von 72 Stunden sorgte sie ab dem 25. Oktober dafür, dass mindestens 600.000 Router unbrauchbar wurden. Mindestens 179.000 stammten von ActionTec, mindestens 480.000 von Sagemcom.

Commodity-Malware Chalubo

Alle Router waren über eine Autonome System Number (ASN) eines unbekannten ISP (Internetanbieter) verbunden. Obwohl Black Lotus Labs Windstream nicht benennt, deckt sich die Schilderung mit den Problemen beim Internetanbieter, schreibt Ars Technica.

➤ Mehr lesen: Wie russische Hacker der Ukraine zusetzen

Wer hinter dem Angriff steht und welche Motivation die Personen hatten, ist unklar. Verwendet wurde die Commodity-Malware „Chalubo“. Dabei handelt es sich um einen Remote Access Trojaner (RAT), der einfach gekauft werden kann, ohne dass die Akteure programmieren oder ihn anpassen müssen. Die Angriffe damit werden automatisiert durchgeführt.

Spuren verwischt

Der Trojaner beseitigt dabei jegliche Spuren, weshalb er nicht zurückzuverfolgen ist. Er löschte alle Dateien auf der Festplatte des Routers, inklusive dessen Firmware, und verschlüsselte sämtliche Kommunikation mit dem Server. Er kann außerdem ein bestimmtes Script ausführen, über das die Angreifer*innen vermutlich nutzten, um Zerstörung anzurichten.

Den Sicherheitsforscher*innen ist kein weiterer Angriff bekannt, der in diesem Ausmaß Router lahmlegen konnte. Maximal der Angriff mit der Schadsoftware AcidRain von 2022, der in der Ukraine 10.000 Modems von Viasat unbrauchbar machte, sei vergleichbar.

➤ Mehr lesen: Cyberangriff auf Ukraine führt zu landesweiten Netzausfällen

Bisherige Angriffe seien zudem an ein bestimmtes Router-Modell geknüpft, nicht an eine ASN, heißt es. Wie den Angreifer*innen die Attacke gelang ist noch unklar, eine Schwachstelle konnten die Forscher*innen nicht identifizieren.

Wirtschaftliche Schäden und Notfälle

Black Lotus Labs nennt das Ereignis „höchst beunruhigend“, da vor allem Nutzer*innen in ländlichen Gegenden betroffen waren, die auf ihre Internetanbindung angewiesen sind. Durch den Ausfall könnten dabei erhebliche wirtschaftliche Schäden entstehen, etwa in der vernetzten Landwirtschaft, wo Bauern ihre Pflanzen überwachen und Maschinen steuern. Es sei sogar möglich, dass Notdienste ausfallen und medizinisches Equipment nicht mehr funktioniert.

Einen Schutz vor solchen Angriffen gibt es allerdings noch nicht. Black Lotus Labs rät zur üblichen Vorgehensweise, den Router immer auf dem neuesten Stand zu halten, ein sicheres Passwort zu nutzen und ihn regelmäßig neu zu starten.