Linksys: une attaque force un renouvellement massif de mot de passe

Les utilisateurs de routeur Linksys ont été ciblés dans une cyberattaque qui a modifié les paramètres du routeur et redirigé les demandes de pages Web et de domaines spécifiques vers des pages malveillantes. Ces pages avaient pour thème le Coronavirus et contenaient des logiciels malveillants.

Les chercheurs ont identifié l’attaque le mois dernier et plus récemment Linksys a réinitialisé les utilisateurs de son application Smart Wi-Fi pour atténuer les attaques. Les représentants de Linksys ont déclaré que les clients sont informés progressivement et que tous les clients doivent être informés de l’incident et de la réinitialisation forcée de mot de passe.

Selon Linksys, détenu par la société mère Belkin, les pirates informatiques ont eu accès à au moins 1 200 comptes Linksys Smart Wi-Fi via ce qui est censé être des attaques de bourrage d’informations d’identification. L’application Smart Wi-Fi est une page Web protégée par mot de passe qui permet aux clients de gérer facilement leurs paramètres Wi-Fi et routeur. Une fois compromis, les attaquants ont manipulé la fonction de routage du DNS de l’appareil afin que les victimes visitent involontairement des pages Web malveillantes.

linksys

“[L’attaque] cible les routeurs domestiques et modifie leurs paramètres DNS pour rediriger les victimes vers un site Web de distribution de logiciels malveillants qui fournit l’infostealer Oski en tant que payload finale”, ont écrit les chercheurs de Bitdefender dans un article publié le 25 mars.

Selon un bulletin de sécurité de Linksys, le 2 avril, les utilisateurs de Smart Wi-Fi ont été évincé de leurs comptes alors que les efforts d’atténuation avaient été lancés par Linksys. «Par prudence, nous avons verrouillé tous les comptes Linksys Smart Wi-Fi pour éviter de nouvelles intrusions. Malheureusement, cela signifie que vous devez changer votre mot de passe », a écrit Linksys.

Les chercheurs ont déclaré que les attaques avaient commencé le 18 mars, atteignant un pic le 23 mars. Les attaques ont redirigé les requêtes vers de nombreux domaines, notamment Disney.com, RedditBlog.com, AWS.Amazon.com, Cox.net et Washington.edu .

linksys

«Lorsque vous essayez d’atteindre l’un des domaines ci-dessus, les utilisateurs sont en fait redirigés vers une adresse IP… qui affiche un message prétendument de l’Organisation mondiale de la santé, disant aux utilisateurs de télécharger et d’installer une application qui offre des instructions et des informations sur le COVID-19,» ont écrit les chercheurs.

Le téléchargement, ou payload de logiciel malveillant, était un fichier .exe malveillant provenant de l’un des quatre répertoires Bitbucket. Le fichier .exe n’était pas le payload finale qui est l’Infostealer Oski, mais plutôt un dropper qui récupérait le logiciel malveillant depuis un serveur de commande et de contrôle appartenant aux pirates.

Le malware Oski est encore nouveau et est aux premiers stades de son développement – mais il a du punch et est sophistiqué, selon la chercheuse Aditya K. Sood dans une analyse de l’outil de collecte de données. Oski sévit en Amérique du Nord et en Chine.

Plus tôt cette année, les cybercriminels colportaient les logiciels malveillants sur les marchés en ligne illicites dans le cadre de programmes de location, parfois les opérateurs vendent même le package complet, a déclaré Sood.

Bitdefender a déclaré à propos des attaques récentes qu’ils ne pouvaient pas dire avec certitude si les routeurs Linksys compromis avaient été victimes d’une série d’attaques de force brute.

“On ne sait toujours pas comment les routeurs ont été compromis mais, en se basant sur les données disponibles, il semble que les pirates forcent brutalement certains modèles de routeurs Linksys, soit en accédant directement à la console de gestion du routeur exposée en ligne, soit en forçant brutalement le compte cloud Linksy”, ont déclaré des chercheurs.

Linksys a ensuite affirmé que les routeurs avaient été compromis par des attaques de force brute.

Les comptes Linksys Smart Wi-Fi «permettent aux utilisateurs de se connecter à distance à leur réseau domestique à partir d’un navigateur ou d’un appareil mobile, en utilisant un compte cloud Linksys accessible depuis l’extérieur du réseau domestique. Étant donné que la plupart des routeurs ciblés semblent impliquer ce fabricant particulier, il est plausible que ce soit également un vecteur d’attaque que les attaquants exploitent », ont déclaré des chercheurs.

Comment renouveler son mot de passe Linksys?

Dans le bulletin de sécurité, la société américaine conseille aux utilisateurs: «Demandez un lien de réinitialisation de mot de passe en accédant à https://linksys.com/reset. Ou vous pouvez le faire en cliquant sur ‘Mot de passe oublié?’ dans l’application Linksys ou Linksys Smart Wi-Fi dans un navigateur. “