В октябре 2023 года специалисты Black Lotus Labs выявили около 600 тыс. маршрутизаторов клиентов американского интернет-провайдера Windstream, которые были взломаны всего за трое суток. Подробности этого инцидента были раскрыты в конце мая в блоге компании Black Lotus Labs.
Отмечается, что заражению подверглись около 600 тыс. Wi-Fi-роутеров, что составляет 49% от всех сетевых устройств Windstream. В основном пострадали роутеры ActionTec T3200 и T3260, а также устройства Sagemcom.
По данным экспертов, инцидент, которому дали название Pumpkin Eclipse, произошел в период с 25 по 27 октября. Несмотря на масштаб сбоя, американский провайдер официально не признала проблемы в работе своих сервисов. Пользователи сообщали, что компания решила вопрос, заменив поврежденное оборудование.
ИБ-специалисты выявили, что причиной сбоя стал вредоносный пакет прошивки, который удалил ключевые части рабочего кода маршрутизаторов. Вредоносное ПО было идентифицировано как Chalubo, троян удаленного доступа. Метод распространения прошивки остается неизвестным, однако предполагается использование уязвимостей, слабых учетных данных или доступа к административным инструментам.
Инцидент привел к тому, что многие клиенты лишились возможности использовать домашние телефоны и временно потеряли связь с внешним миром, особенно в удаленных районах. Злоумышленники, чьи мотивы так и не были раскрыты, смогли скрыть следы своих действий и использовать Chalubo для выполнения собственных скриптов Lua на зараженных устройствах, что привело к невозможности восстановления прошивок пользователями.