600 000 routeurs ont été détruits après une cyberattaque contre Windstream (FAI)
En octobre 2023, une perturbation importante s'est produite lorsque environ 600 000 routeurs fournis par Windstream, un important fournisseur de services Internet américain, sont tombés en panne dans 18 États. Cet incident a initialement suscité un mécontentement généralisé des clients en raison de la perception d'une défaillance systémique de la part du fournisseur. Cependant, des enquêtes ont révélé plus tard que la panne était le résultat d'une cyberattaque ciblée impliquant des mises à jour de micrologiciels malveillants. Les chercheurs en cybersécurité de Lumen ont attribué l'échec à des mises à jour de micrologiciels malveillants qui ont été transmises à trois modèles de routeurs distincts : les ActionTec T3200, ActionTec T3260 et Sagemcom F5380. L'attaque, exécutée du 25 au 27 octobre, visait à neutraliser les appareils. L'ampleur et l'exécution suggèrent que les auteurs avaient pour objectif de créer des perturbations importantes, même si leurs motivations exactes et leur identité restent confidentielles.
Le micrologiciel malveillant a rendu les routeurs inutilisables, nécessitant leur remplacement complet, une réponse inhabituellement sévère compte tenu de la nature de la plupart des cyberattaques, qui permettent généralement la possibilité d'une correction sans remplacement complet du matériel. Cet événement a été souligné par les chercheurs comme étant particulièrement rare en raison de l'ampleur des équipements concernés et des défis logistiques posés par la nécessité de distribuer et d'installer de nouveaux routeurs, en particulier dans les zones à prédominance rurale des utilisateurs concernés. Un autre aspect inhabituel de cette cyberattaque réside dans ses vastes critères de ciblage. En règle générale, les cyberattaques se concentrent sur un seul modèle ou marque d’appareil pour exploiter des vulnérabilités spécifiques. Cependant, cet incident concernait plusieurs modèles de différents fabricants, ce qui indique une stratégie d'attaque très sophistiquée. La complexité du logiciel malveillant utilisé était suffisamment importante pour suggérer l’implication d’un acteur malveillant avancé, potentiellement soutenu par un État-nation.
Malgré une analyse approfondie, la méthode initiale de propagation des logiciels malveillants reste incertaine, et plusieurs vecteurs potentiels sont toujours à l'étude. L’absence de vecteur d’infection initial clair et la nature sophistiquée de l’attaque ont laissé de nombreuses questions sans réponse, contribuant ainsi aux demandes constantes des clients concernés et de la communauté de la cybersécurité.
La réponse de Windstream à l'incident a été critiquée pour son manque de détails et de transparence, laissant de nombreux clients sans informations claires sur la violation et ses implications sur leur service et leur sécurité. Ce manque de communication n’a fait qu’ajouter aux inquiétudes des parties prenantes cherchant à comprendre la gravité et les répercussions de l’attaque. Cet événement souligne les vulnérabilités critiques de l’infrastructure réseau et l’importance de mesures de cybersécurité robustes. Il met également en évidence les défis liés à la gestion et à la sécurisation de réseaux hétérogènes comprenant des appareils de plusieurs fabricants, qui peuvent varier considérablement en termes de fonctionnalités de sécurité et de susceptibilité aux attaques.
THE GURU3D
