Angreifer missbrauchen seit 2023 Milesight‑Mobilfunkrouter als verteilte Plattform für Phishing‑SMS. Laut Analysen von Sekoia dient ein Teil dieser industriellen IoT‑Geräte als dezentrale smishing‑Gateways – ein Vorgehen, das Filtermechanismen von Mobilfunkanbietern und Anti‑Spam‑Diensten deutlich erschwert.
Angriffsmuster: IoT‑Router als SMS‑Gateway
Milesight‑Router sind industrielle 3G/4G/5G‑Geräte mit SIM‑Karten, die etwa Verkehrssteuerungen, Zähler und entfernte Knoten verbinden. Sie unterstützen Steuerbefehle per SMS, Python‑Skripte und Weboberflächen. Sekoia beobachtete kompromittierte Router, die SMS mit Phishing‑URLs versendeten und auf gefälschte Login‑Seiten weiterleiteten.
Ausmass der Exposition und technische Befunde
Im Internet wurden über 18.000 erreichbare Milesight‑Geräte identifiziert; mindestens 572 stellten Programmierschnittstellen ohne Authentifizierung bereit. Viele Router laufen auf Firmware‑Ständen, die seit mehr als drei Jahren nicht aktualisiert wurden – häufig mit bekannten Schwachstellen, Standardkonfigurationen und unnötig exponierten Diensten.
CVE‑2023‑43261 und alternative Zugriffswege
Ein Teil der Intrusionen steht im Kontext von CVE‑2023‑43261, die in Firmware 35.3.0.7 behoben wurde. Da jedoch auch nicht verwundbare Versionen betroffen waren, sind weitere Vektoren plausibel: offene oder falsch abgesicherte APIs, schwache Zugangsdaten, ungeschützte Web‑UIs sowie veraltete Module für SMS‑Management und Python‑Automatisierung. In der Praxis genügt häufig die bloße Internet‑Exposition ohne Login‑Schutz, um SMS‑Funktionen zu missbrauchen.
Von SMS zur Kontoübernahme: Ablauf der Attacke
Die Kampagnen zielten auf Nutzer in mehreren Ländern, mit Spitzenaktivität in Schweden, Belgien und Italien. Die Nachrichten forderten zur „Identitätsbestätigung“ oder zum Login bei vermeintlich offiziellen Diensten auf. Die verlinkten Seiten setzten JavaScript‑Geräteprüfungen ein, zeigten Inhalte nur auf Mobilgeräten und erschwerten Analysen durch blockierten Rechtsklick sowie deaktivierte Debug‑Tools.
Für Telemetrie kam unter anderem der Telegram‑Bot „GroozaBot“ zum Einsatz. Der dahinter stehende Operator (Gro_oza) agiert mutmaßlich mit arabischen und französischen Sprachressourcen, was auf eine international ausgerichtete Infrastruktur hindeutet.
Warum die Methode funktioniert: Folgen für IIoT und Betreiber
Durch den Versand über legitime SIM‑Karten in unterschiedlichen Ländern entsteht eine verteilte Absenderlandschaft. Klassische Filter, die auf Absenderreputation, Absender‑IDs oder zentrale SMS‑Knoten (SMSC) zielen, greifen schlechter. Für Betreiber industrieller Netze drohen Zusatzrisiken: Datenabfluss, laterale Bewegung in benachbarte Segmente sowie SMS‑Missbrauch und „Pumping“ mit direkten Kosten im Billing. Die GSMA beschreibt SMS‑Pumping als systematisches Generieren von SMS‑Verkehr, der gezielt finanzielle Schäden erzeugt – ein Muster, das sich hier technisch leicht abbilden lässt.
Empfehlungen: Härtung von Milesight‑Routern und OT‑Netzen
Organisationen sollten kurzfristig handeln und sowohl Gerätesicherheit als auch Netzarchitektur adressieren:
- Firmware aktualisieren: Upgrade auf 35.3.0.7 oder höher; verfügbare Hotfixes des Herstellers einspielen.
- Angriffsfläche reduzieren: Nicht authentifizierte APIs/Web‑UIs nicht ins Internet exponieren; Steuerung ausschließlich über VPN/Zero‑Trust mit MFA.
- SMS‑Funktionen kontrollieren: Deaktivieren oder limitieren, wo nicht geschäftskritisch; Rate Limiting, Geo‑Filter und Richtlinien pro Zielregion.
- Zugang absichern: Standardkonten entfernen, starke Passwörter und Schlüsselrotation durchsetzen.
- Abrechnung überwachen: SMS‑Volumina mit dem MNO monitoren; Alarme bei Spikes und unbekannten Destinationen.
- Netz segmentieren: IIoT/OT strikt trennen, Management‑Interfaces ohne direkten Internetzugang betreiben, ACLs und erlaubnisbasierte Firewall‑Regeln nutzen.
- Integrität prüfen: Installierte Python‑Skripte/Jobs auf Unregelmäßigkeiten auditieren; Konfigurations‑Reviews regelmäßig durchführen.
Die Erkenntnisse belegen: Für großflächige Phishing‑Operationen reichen fehlkonfigurierte IIoT‑Router als kostengünstige Infrastruktur. Eine aktuelle Firmware, konsequente Zugangskontrollen und Telemetrie über Netzwerk und Billing reduzieren das Risiko signifikant. Sicherheitsverantwortliche sollten ihre IoT‑Bestände inventarisieren, unnötige Schnittstellen entfernen und Zero‑Trust‑Prinzipien umsetzen – bevor industrielle Router zum unsichtbaren SMS‑Botnetz werden.
