Разделы

Безопасность Телеком Техника Маркет

Linksys принудительно сбросил пользовательские пароли роутеров из-за множества атак

Компания Linksys заблокировала пользовательские аккаунты в своем облачном сервисе, предназначенном для управления настройками роутеров. Злоумышленники атакуют эти устройства, подменяют DNS и пытаются установить жертвам троянец, крадущий данные.

Угроза для роутеров

Компания Linksys принудительно заблокировала пользовательские аккаунты в сервисе Smart Wi-Fi, предназначенном для управления роутерами через мобильное приложение (в том числе, из другой сети) и их настройками. Предложение сменить пароль к роутеру выводится пользователям при очередном входе в мобильное приложение Linksys Smart Wi-Fi.

Причиной такого шага стала обширная киберпреступная кампания: злоумышленники компрометируют слабо защищенные роутеры и подменяют их настройки DNS так, чтобы перенаправлять пользователей на вредоносные ресурсы.

Эксперты по безопасности забили тревогу по поводу этой кампании еще во второй половине марта 2020 г. Тогда начали множиться сообщения о том, что браузеры стали самостоятельно открываться на страницах, где ничего не понимающим жертвам предлагалось скачать некое информационное приложение, посвященное пандемии коронавируса, якобы исходящее от Всемирной организации здравоохранения.

В действительности же это был троянец Oski, основное назначение которого — красть конфиденциальные данные с компьютеров жертв.

Linksys принуждает пользователей своих роутеров менять пароли из-за кибератак
Linksys принуждает пользователей своих роутеров менять пароли из-за кибератак

Пользователи принудительно перенаправлялись при попытке зайти на такие ресурсы как aws.amazon.com, goo.gl, bit.ly, washington.edu, imageshack.us, ufl.edu, disney.com, cox.net, xhamster.com, pubads.g.doubleclick.net, tidd.ly, redditblog.com, fiddler2.com и winimage.com.

Linksys опубликовал небольшую статью с вопросами и ответами на тему атак. В ней указывается, что, помимо смены пароля, необходима любыми способами избавиться от приложения «COVID-19 Inform App», если это не было сделано ранее.

Для начала брутфорс

По данным компании Bitdefender, негативное воздействие на роутеры начинается с брутфорс-атаки с целью получения реквизитов дотупа. Затем злоумышленники подменяют настройки DNS, с тем, чтобы направлять жертв на вредоносные ресурсы, откуда им предлагается загрузить «информационное приложение». Хакерские программы хостятся в репозитории Bitbucket; для маскировки применяется сервис сокращения сетевых имен TinyURL.

«Исходя из результатов анализа облачного трафика, мы уверены в том, что имеют место скоординированные усилия, нацеленные на несанкционированный доступ и изменения в аккаунтах Linksys Smart Wi-Fi с использованием реквизитов, украденных на других сайтах. Хотя мы приняли дополнительные меры безопасности в облаке для противодействия этим атакам, мы бы хотели порекомендовать всем клиентам переустановить пароли...» — говорится в публикации Linksys.

Весенняя уборка

«Пользователи чаще обходят вниманием программные оболочки роутеров, чем следовало бы, и этим активно пользуются злоумышленники, — отмечает Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. — Это далеко не первая кампания, нацеленная на настройки DNS в роутерах, и то, что Linksys принуждает сменить пароли, на самом деле, пойдет только на пользу всем. По большому счету, пароли надо менять ко всему регулярно».

Роман Георгиев