Num ataque ocorrido no final de outubro do ano passado, 600 mil roteadores SOHO (domésticos) foram avariados na rede de um provedor de Internet americano e tiveram de ser substituídos. O provedor não foi identificado, mas a empresa de telecomunicações Lumen detalhou o incidente num artigo publicado dia 30 de Maio. No ataque, três tipos de roteadores tiveram atualizações de firmware não autorizadas, que fizeram com que os dispositivos parassem de funcionar – foram roteadores ActionTec T3200s, ActionTec T3260s e Sagemcom F5380.
Veja isso
Russia quer seus dados dentro do país
Descoberta botnet repleta de roteadores e dispositivos IoT
O ataque ocorreu durante um período de 72 horas, de 25 a 27 de outubro do ano passado. Segundo os pesquisadores da Lumen, foi um ato deliberado com o objetivo de causar uma interrupção em grande escala. No caso de uma atualização de firmware defeituosa de um único fabricante, apenas um tipo de modelo ou modelos desse fabricante seriam afetados. Neste caso, envolveu diferentes tipos e fabricantes. Além disso, o ataque foi limitado a um ASN (número de sistema autônomo) específico do provedor afetado.
Os pesquisadores conseguiram identificar parte do malware, mas não o módulo que causou o dano real. Também não se sabe como os invasores conseguiram instalar a atualização em tantas máquinas, nem se uma determinada vulnerabilidade foi explorada. O nome do provedor em questão não foi revelado pela Lumen, mas durante o período em questão, clientes do provedor de internet americano Windstream relataram via X e via Reddit que seus roteadores T3200 e T3260 não estavam mais funcionando. A Winstream não quis responder a perguntas enviadas pela agência de notícias Reuters.
Os pesquisadores da Lumen dizem que uma grande parte dos clientes do provedor de Internet afetado está localizada em áreas rurais, onde os residentes podem potencialmente perder o acesso a serviços de emergência e sistemas de monitorização remota das suas colheitas como resultado do ataque. Os prestadores de serviços de saúde também não seriam capazes de fornecer serviços de telessaúde ou consultar registos de pacientes devido ao ataque.