"Pumpkin Eclipse": l'attacco hacker che ha distrutto 600.000 router

Nell'ottobre 2023, un attacco informatico senza precedenti ha devastato 600.000 router in soli tre giorni, colpendo un ISP americano. L'attacco, denominato "Pumpkin Eclipse," ha preso di mira i router di Windstream, un provider di servizi internet che opera principalmente nelle aree rurali degli Stati Uniti.

L'attacco si è svolto tra il 25 e il 27 ottobre 2023. Gli utenti di Windstream hanno iniziato a segnalare problemi con i loro router: i dispositivi non funzionavano più e non potevano essere riavviati o resettati.  In risposta, Windstream ha inviato nuovi router agli utenti interessati, ma non è stata in grado di fornire dettagli sulla causa del problema.

Solo a maggio 2024, Black Lotus Labs, una società di sicurezza informatica, ha pubblicato un report che ha rivelato la vera natura dell'attacco. L'attacco è stato eseguito utilizzando un malware chiamato Chalubo. Chalubo è un malware di base che consente agli aggressori di eseguire script personalizzati sui dispositivi compromessi.

Chalubo: un malware troppo semplice per un attacco di questa portata

In questo caso, gli hacker hanno utilizzato Chalubo per sovrascrivere il firmware dei router, rendendoli inutilizzabili in modo permanente. Questa tecnica ha fatto sì che i router colpiti non potessero essere riparati, obbligando Windstream a sostituirli completamente.

Ci sono diversi elementi che rendono unico l'attacco "Pumpkin Eclipse." Innanzitutto, la scala dell'attacco è senza precedenti: 600.000 router distrutti in un periodo così breve rappresentano un evento di notevole portata. Inoltre, l'attacco è stato estremamente preciso, colpendo esclusivamente i router di Windstream e risparmiando quelli di altri ISP. Infine, l'utilizzo di Chalubo, un malware relativamente semplice, è insolito per un attacco di questa entità e complessità.

Le motivazioni dietro l'attacco restano sconosciute. Black Lotus Labs ipotizza che l'attacco possa essere stato condotto da un gruppo di hacker sostenuti da uno Stato nazionale, ma non ci sono prove concrete a supporto di questa teoria. Indipendentemente dalle motivazioni, l'attacco "Pumpkin Eclipse" serve da monito per i provider di servizi internet e per i consumatori.