Ein am Donnerstag veröffentlichter Bericht von Sicherheitsforschenden zeigt im Detail, was bei dem Vorfall, der sich bereits im Oktober 2023 in einigen Bundesstaaten der USA ereignete, geschehen war. Der Betroffene, das US-Unternehmen Windstream, konnte noch nicht erklären, was genau zu dem Massenausfall der WLAN-Router geführt hatte.
WLAN-Router: Diese Attacke setzte zahlreiche Geräte außer Gefecht
Das Sicherheitsunternehmen Black Lotus Labs von Lumen Technologies wirft mit der Untersuchung ein neues Licht auf das Geschehen. Forschende erklärten, dass eine Malware über einen Zeitraum von 72 Stunden, beginnend am 25. Oktober, mehr als 600.000 WLAN-Router ausschaltete, die zu einem einzigen Internet Service Provider (ISP) gehörten.
Wie es weiter heißt, steckte dahinter ein bisher unbekannter Bedrohungsakteur mit ebenso unbekannten Motiven. Dieser verwischte bewusst seine Spuren, indem er statt eines eigens entwickelten Toolkits eine handelsübliche Malware namens Chalubo verwendete. Eine dort integrierte Funktion ermöglichte es, benutzerdefinierte Skripte auf den infizierten Geräten auszuführen. Die Forscher*innen glauben, dass die Malware Code heruntergeladen und ausgeführt hat, der die Firmware der WLAN-Router dauerhaft überschrieb.
Lesetipp: Darum raten Experten, den WLAN-Router öfter auszuschalten
Diese Merkmale hatte der Angriff
Laut Ars Technica meldeten Betroffene verschiedene Anzeichen, die nach der Attacke bei ihren Geräten auftraten: „Die Router leuchten jetzt nur noch rot“, schrieb jemand und bezog sich dabei auf die ActionTec T3200 Modelle, die das Unternehmen Windstream ihm und einem Nachbarn zur Verfügung gestellt hatte. „Sie reagieren nicht einmal auf einen RESET“.
„Wir haben drei Kinder und arbeiten beide von zu Hause aus“, schrieb eine andere Person. „Das hat uns leicht mehr als 1.500 Dollar an entgangenem Geschäft gekostet, kein Fernsehen, kein WiFi, stundenlanges Telefonieren, usw. Es ist so traurig, dass ein Unternehmen seine Kunden so behandeln kann und sich nicht darum kümmert.“
Obwohl die Forschenden den Provider in ihrem Bericht nicht genannt haben, stimmen die von ihnen gemeldeten Einzelheiten fast perfekt mit den Angaben in den Oktober-Nachrichten von Windstream-Abonnent*innen überein. Insbesondere das Datum, an dem der massenhafte Effekt einsetzte, die betroffenen Routermodelle, die Beschreibung des Internetanbieters und die Anzeige eines statischen roten Lichts bei den außer Betrieb befindlichen ActionTec-Geräten. Windstream-Vertreter*innen lehnten es allerdings ab, per E-Mail gestellte Fragen zu beantworten.
Quellen: Black Lotus Labs (Lumen Technologies), Ars Technica
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.