В начале апреля текущего года мы рассказывали о странной вредоносной кампании: пользователи получали навязчивые предложения скачать приложение, якобы информирующее о COVID-19 и созданное ВОЗ. Как оказалось, роутеры этих людей были скомпрометированы, настройки DNS изменены, а под видом «коронавирусного» приложения распространялся троян Oski.

Напомню, что тогда издание Bleeping Computer сообщало, что во всех случаях пострадавшие были владельцами роутеров D-Link или Linksys, и неизвестные злоумышленники изменили на их устройствах настройки DNS. Однако было неясно, как именно атакующие получали доступ к маршрутизаторам, хотя несколько пострадавших признались, что доступ к их роутерам можно было получить удаленно, и они использовали слабые пароли.

Теперь же The Register пишет, что разработчики компании Linksys начали принудительное обнуление паролей от Linksys Smart Wi-Fi, так как, судя по всему, именно с этим сервисом была связана недавняя атака. После смены пароля и входа на сайт, сервис автоматически проведет проверку безопасности подключенных маршрутизаторов, чтобы убедиться, что ни на одном из них не были изменены настройки DNS.

Представители компании Belkin (владеет Linksys с 2013 года) подтвердили журналистам, что злоумышленники получили доступ к чужим учетным записям Smart Wi-Fi, используя атаки типа credential stuffing. Этим термином обозначают ситуации, когда имена пользователей и пароли похищают с одних сайтов, а затем используют на других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.

Сколько именно пользователей оказалось скомпрометировано таким образом в компании не говорят. На специальной странице, посвященной инциденту, представители Linksys пишут: «Если вы загрузили приложение COVID-19 Inform, ваша сеть заражена. Вам нужно как можно быстрее избавиться от него, чтобы предотвратить дальнейшее воздействие».

Интересно, что письма с информацией об инциденте и просьбой поменять пароли были разосланы пользователям не с адреса на linksys.com, из-за чего возникла путаница, и у многих встал вопрос, настоящие ли это послания. Позже компания подтвердила происхождение писем в своем Twitter, заверив пользователей, что все в порядке.

Теги: CSS