Один 0day — и страна без связи. Неизвестная уязвимость в Huawei затронула телеком Люксембурга
Что расследование рассказало о кибератаке на Huawei.
В Люксембурге прошлым летом на несколько часов рухнула почти вся связь в стране, и теперь стало известно, что причиной стала атака через неизвестную ранее уязвимость в оборудовании Huawei. Из-за сбоя жители не могли пользоваться мобильной и стационарной связью, а часть людей не могла дозвониться до экстренных служб.
Инцидент произошёл 23 июля 2025 года ближе к концу рабочего дня. У государственного оператора POST Luxembourg перестала работать стационарная связь, а также мобильные сети четвёртого и пятого поколения. Связь восстановили более чем через три часа, после чего в центр экстренных вызовов поступили сотни дополнительных звонков.
По данным Recorded Future News*, атака затронула программное обеспечение корпоративных маршрутизаторов Huawei. Специально подготовленный сетевой трафик отправил устройства в непрерывную перезагрузку, из-за чего отказали важные части инфраструктуры POST Luxembourg.
Глава отдела коммуникаций POST Luxembourg Пол Рауш подтвердил, что инцидент был атакой типа «отказ в обслуживании» на сетевое устройство. По его словам, злоумышленники использовали «непубличное и неописанное поведение», для которого на тот момент не существовало исправления. Рауш также уточнил, что атака не была связана с уже известными и ранее описанными уязвимостями.
Источники издания, знакомые с закрытыми брифингами по делу, назвали инцидент атакой через уязвимость нулевого дня. При этом сама уязвимость до сих пор публично не описана. За десять месяцев после сбоя для неё не появился идентификатор CVE, а другие операторы, использующие похожее оборудование, не получили открытого предупреждения.
По словам Рауша, Huawei сообщила POST Luxembourg, что раньше не сталкивалась с такой атакой у своих клиентов и не имела готового решения.
Власти Люксембурга сначала назвали случившееся «исключительно продвинутой и сложной кибератакой», а также говорили о распределённой атаке типа «отказ в обслуживании». Позднее POST Luxembourg уточнила, что инцидент не был обычной массовой атакой с огромным объёмом трафика, какие часто проводят хактивисты и киберпреступники.
Прокуратура страны сообщала, что через инфраструктуру POST Luxembourg прошли повреждённые данные. Вместо того чтобы просто переслать такой трафик дальше, системы оператора остановились и начали перезагружаться. В итоге следствие пришло к выводу, что нет доказательств целенаправленной атаки именно на POST Luxembourg, а уголовные обвинения никому не предъявили.
После инцидента власти Люксембурга и Huawei провели несколько технических встреч, чтобы разобраться в причинах сбоя. Национальные органы кибербезопасности также предупредили партнёрские группы реагирования на инциденты в Европе по государственным каналам. Однако публичного уведомления для всей отрасли так и не появилось.
POST Luxembourg заявила, что передала технические данные, но не могла решать, раскрывать ли уязвимость. Представитель Высшей комиссии по национальной защите Люксембурга Анн Юнг сообщила, что по стандартной процедуре выпускать ли CVE, решает производитель.
Huawei регулярно публикует сведения об уязвимостях в потребительских продуктах, однако открыто сообщать о проблемах в корпоративном сетевом оборудовании компания в последние годы стала реже. Для корпоративных клиентов компания выпускает бюллетени через закрытый портал. Спустя десять месяцев остаётся неясно, была ли уязвимость полностью исправлена, сколько операторов могли оказаться под угрозой и остаются ли похожие системы Huawei уязвимыми сейчас.
* Recorded Future признана нежелательной организацией в России.
