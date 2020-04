В начале апреля текущего года мы рассказывали о странной вредоносной кампании: пользователи получали навязчивые предложения скачать приложение, якобы информирующее о COVID-19 и созданное ВОЗ. Как оказалось, роутеры этих людей были скомпрометированы, настройки DNS изменены, а под видом «коронавирусного» приложения распространялся троян Oski.

Напомню, что тогда издание Bleeping Computer сообщало, что во всех случаях пострадавшие были владельцами роутеров D-Link или Linksys, и неизвестные злоумышленники изменили на их устройствах настройки DNS. Однако было неясно, как именно атакующие получали доступ к маршрутизаторам, хотя несколько пострадавших признались, что доступ к их роутерам можно было получить удаленно, и они использовали слабые пароли.

Теперь же The Register пишет, что разработчики компании Linksys начали принудительное обнуление паролей от Linksys Smart Wi-Fi, так как, судя по всему, именно с этим сервисом была связана недавняя атака. После смены пароля и входа на сайт, сервис автоматически проведет проверку безопасности подключенных маршрутизаторов, чтобы убедиться, что ни на одном из них не были изменены настройки DNS.

Представители компании Belkin (владеет Linksys с 2013 года) подтвердили журналистам, что злоумышленники получили доступ к чужим учетным записям Smart Wi-Fi, используя атаки типа credential stuffing. Этим термином обозначают ситуации, когда имена пользователей и пароли похищают с одних сайтов, а затем используют на других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.

Сколько именно пользователей оказалось скомпрометировано таким образом в компании не говорят. На специальной странице, посвященной инциденту, представители Linksys пишут: «Если вы загрузили приложение COVID-19 Inform, ваша сеть заражена. Вам нужно как можно быстрее избавиться от него, чтобы предотвратить дальнейшее воздействие».

Интересно, что письма с информацией об инциденте и просьбой поменять пароли были разосланы пользователям не с адреса на linksys.com, из-за чего возникла путаница, и у многих встал вопрос, настоящие ли это послания. Позже компания подтвердила происхождение писем в своем Twitter, заверив пользователей, что все в порядке.

(1/2)We got your back, Dave. We want to verify if this is the email that was sent from subscribermanagement@linksys-email.com? If yes, that email is accurate. We enforced a password change for all our Linksys Smart Wi-Fi Customers due to the recent COVID19 hacking.