Một cuộc tấn công mạng đứng đằng sau một sự cố vào năm ngoái đã vô hiệu hóa hơn 600.000 bộ định tuyến internet trên một số bang vùng Trung Tây trong khoảng thời gian từ ngày 25 đến ngày 27 tháng 10, theo nghiên cứu mới được xuất bản bởi bộ phận nghiên cứu mối đe dọa của Lumen Technologies, Black Lotus Labs. Vụ việc không được tiết lộ vào thời điểm đó, mặc dù hàng trăm nghìn bộ định tuyến không thể hoạt động được.
Cuộc điều tra cũng không nêu rõ công ty nào là mục tiêu, Nhưng Reuters nói họ đã xác định được mục tiêu là Windstream, một ISP có trụ sở tại Arkansas, dựa trên các thông tin tham khảo chéo về tình trạng ngừng hoạt động Internet được báo cáo trong cùng thời gian. Windstream, nơi có khu vực dịch vụ bao phủ nhiều cộng đồng nông thôn hoặc chưa được phục vụ đầy đủ, đã từ chối The Vergeyêu cầu bình luận của.
Black Lotus Labs bị điều tra dựa trên những khiếu nại liên tục trên mạng xã hội và phát hiện sự cố ngừng hoạt động của các bộ định tuyến cụ thể, đặc biệt là ActionTec T3200 và ActionTec T3260. Người dùng cho biết vấn đề của họ chỉ được giải quyết khi nhà cung cấp thay thế các thiết bị bị ảnh hưởng.
Gói phần mềm độc hại đã xóa các phần mã hoạt động trên các bộ định tuyến bị ảnh hưởng được xác định là “Chalubo”, một trojan truy cập từ xa phổ biến. Không rõ phần sụn được chuyển đến khách hàng bằng cách nào – dù thông qua một cách khai thác không xác định, thông tin xác thực yếu hay quyền truy cập vào các công cụ quản trị – hay ai đứng đằng sau cuộc tấn công mà các nhà nghiên cứu gọi là “một hành động có chủ ý nhằm gây ra sự cố ngừng hoạt động”.
Trong khi vẫn còn một số bí ẩn, Black Lotus Labs khuyến nghị các tổ chức nên bảo mật các thiết bị quản lý và tránh các điểm yếu bảo mật cơ bản như mật khẩu mặc định. Người tiêu dùng cũng được khuyến khích cập nhật các bản cập nhật bảo mật thường xuyên.