В начале апреля текущего года мы рассказывали о странной вредоносной кампании: пользователи получали навязчивые предложения скачать приложение, якобы информирующее о COVID-19 и созданное ВОЗ. Как оказалось, роутеры этих людей были скомпрометированы, настройки DNS изменены, а под видом «коронавирусного» приложения распространялся троян Oski.
Напомню, что тогда издание Bleeping Computer сообщало, что во всех случаях пострадавшие были владельцами роутеров D-Link или Linksys, и неизвестные злоумышленники изменили на их устройствах настройки DNS. Однако было неясно, как именно атакующие получали доступ к маршрутизаторам, хотя несколько пострадавших признались, что доступ к их роутерам можно было получить удаленно, и они использовали слабые пароли.
Теперь же The Register пишет, что разработчики компании Linksys начали принудительное обнуление паролей от облачного сервиса Linksys Smart Wi-Fi, так как, судя по всему, именно с этим сервисом была связана недавняя атака. Сервис Smart WiFi позволяет владельцам устройств Linksys подключаться к своим маршрутизаторам и другому оборудованию через интернет для управления настройками. После смены пароля и входа на сайт, сервис автоматически проведет проверку безопасности подключенных маршрутизаторов, чтобы убедиться, что ни на одном из них не были изменены настройки DNS.
Представители компании Belkin (владеет Linksys с 2013 года) подтвердили журналистам, что злоумышленники получили доступ к чужим учетным записям Smart Wi-Fi, используя атаки типа credential stuffing. Этим термином обозначают ситуации, когда имена пользователей и пароли похищают с одних сайтов, а затем используют на других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
«Несколько факторов позволяют сделать вывод, что эти учетные данные были украдены в другом месте: большинство запросов на аутентификацию [в Smart Wi-Fi] содержали имена пользователей, которые никогда не регистрировались в нашей системе. Мы проверили адреса электронной почты с помощью таких сервисов, как haveibeenpwned.com, и выяснили, что списки учетных данных, которые использовали для наших систем, ранее фигурировали в различных утечках.
Было предпринято несколько попыток использования одного и того же имени пользователя, но с разными паролями. В этом не было бы необходимости, если бы наши собственные системы оказались скомпрометированы», — рассказали представители Belkin.
Сколько именно пользователей оказалось скомпрометировано таким образом в компании не говорят. На специальной странице, посвященной инциденту, представители Linksys пишут: «Если вы загрузили приложение COVID-19 Inform, ваша сеть заражена. Вам нужно как можно быстрее избавиться от него, чтобы предотвратить дальнейшее воздействие».
Интересно, что письма с информацией об инциденте и просьбой поменять пароли были разосланы пользователям не с адреса на linksys.com, из-за чего возникла путаница, и у многих встал вопрос, настоящие ли это послания. Позже компания подтвердила происхождение писем в своем Twitter, заверив пользователей, что все в порядке.
(1/2)We got your back, Dave. We want to verify if this is the email that was sent from subscribermanagement@linksys-email.com? If yes, that email is accurate. We enforced a password change for all our Linksys Smart Wi-Fi Customers due to the recent COVID19 hacking.
— LinksysCares (@LinksysCares) April 14, 2020