Neznámí útočníci systematicky zneužívají průmyslové celulární routery značky Milesight k rozesílání podvodných SMS zpráv (smishing), které od roku 2022 cílí na uživatele v několika evropských zemích. Kampaň se zaměřuje především na Švédsko, Itálii a Belgii a používá domény napodobující vládní a komerční služby, banky, pošty a telekomunikační poskytovatele, aby přesvědčila příjemce ke kliknutí na phishingové odkazy.
Útočníci využívají veřejně přístupné API routerů k odesílání škodlivých SMS a k získávání příchozích i odchozích zpráv, což umožňuje ověřit funkčnost zařízení před širším nasazením kampaně. Bezpečnostní analýzy odhalily, že ze zhruba 18 000 Milesight routerů dostupných na internetu je několik stovek potenciálně zranitelných kvůli vystavenému rozhraní API; přibližně polovina z nich byla lokalizována v Evropě.
Technika útoku obvykle začíná testovací fází, kdy útočníci pošlou SMS na číslo pod jejich kontrolou, aby zjistili, zda daný router zprávy dokáže odesílat. V některých případech jsou funkce související se správou SMS — odesílání nebo prohlížení historie zpráv — vystaveny bez požadavku na autentizaci, což útočníkům významně usnadňuje provoz. Některé instance byly patrně způsobeny chybnou konfigurací, jiná zařízení s novějším firmwarem byly vůči zneužití imunní.
Phishingové odkazy vedou na stránky, které před zobrazením škodlivého obsahu kontrolují, zda návštěvník používá mobilní zařízení, a poté ho zkouší přimět k aktualizaci bankovních údajů pod záminkou proplacení či ověření. Analýza rovněž ukázala použití technik ztěžujících analýzu — například deaktivaci kontextového menu a nástrojů pro ladění v prohlížeči — a sběr návštěv přes Telegram bota označovaného jako GroozaBot; aktér spojený s tímto botem údajně komunikuje v arabštině i francouzštině.
Vyšetřovatelé upozornili, že kampaň pravděpodobně těžila z dříve zveřejněné chyby související s odhalováním informací u zařízení Milesight (označované v bezpečnostních záznamech jako CVE-2023-43261), která mohla být krátce po zveřejnění zneužita v reálném provozu. Nicméně v dostupných zjištěních není doloženo, že by útočníci současně instalovali zadní vrátka nebo využívali jiné zranitelnosti — operace se zdá být cíleně zaměřená právě na možnost decentralizovaného rozesílání SMS z kompromitovaných zařízení.
Bezpečnostní firmy varují, že právě průmyslové celulární routery představují atraktivní vektor pro smishing, protože umožňují rozesílat velké objemy zpráv z různých geografických bodů, což ztěžuje jejich sledování a blokování. Doporučená opatření zahrnují aktualizaci firmwaru, uzavření veřejně přístupných rozhraní API a kontrolu konfigurace routerů tak, aby funkce zpráv vyžadovaly silnou autentizaci.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
