Исследователи Sekoia выявили продолжающиеся с 2023 года кампании, в рамках которых злоумышленники эксплуатируют сотовые маршрутизаторы Milesight как платформу для рассылки фишинговых SMS. Анализ сетевой активности, собранной ханипотами, показал, что часть устройств используется как децентрализованные шлюзы smishing‑атак, что усложняет обнаружение и блокировку на уровне операторов связи и антиспам‑систем.
Что произошло: фишинговая рассылка через IoT‑инфраструктуру
Milesight IoT‑маршрутизаторы — это промышленные устройства с SIM‑картами для сетей 3G/4G/5G, применяемые для подключения светофоров, счетчиков и иных удаленных узлов. Они поддерживают управление через SMS, Python‑скрипты и веб‑интерфейс. По данным Sekoia, скомпрометированные роутеры рассылали SMS с фишинговыми URL, направлявшими пользователей на поддельные страницы входа.
Масштаб экспозиции и технические детали
В ходе расследования в интернете обнаружено более 18 000 доступных устройств Milesight, из которых как минимум 572 предоставляли открытый доступ к программным интерфейсам (API) без аутентификации. Большинство роутеров работают на прошивках, устаревших более чем на три года, с известными уязвимостями и дефолтными настройками, повышающими риск злоупотреблений.
Возможные векторы взлома и роль CVE‑2023‑43261
Одной из версий рассматривается эксплуатация CVE‑2023‑43261, закрытой в прошивке 35.3.0.7. Однако часть скомпрометированных устройств использовала версии, не уязвимые к этой проблеме, что указывает на альтернативные векторы: открытые или неправильно защищенные API, слабые пароли, незащищенные веб‑интерфейсы, а также устаревшие модули управления SMS и Python‑скриптами. Нередко злоумышленникам достаточно банальной экспозиции сервиса в интернет без аутентификации, чтобы получить доступ к функциям отправки сообщений.
Как работает атака: от SMS до кражи учетных данных
Фишинговые SMS были нацелены на абонентов в разных странах, при этом наибольшая активность отмечена в Швеции, Бельгии и Италии. Получателей просили «подтвердить личность» или войти в аккаунты, часто имитируя госуслуги или популярные сервисы. Ссылки вели на фишинговые сайты, где собирались логины и пароли.
Для усложнения анализа сайты применяли JavaScript‑проверки, блокируя загрузку содержимого на ПК и выводя контент только на мобильных устройствах. На отдельных страницах отключались правый клик и инструменты отладки. Кроме того, фиксировалось использование Telegram‑бота GroozaBot для телеметрии посещений; оператор, известный под ником Gro_oza, предположительно владеет арабским и французским языками.
Почему это работает и чем это опасно для IIoT
Эксплуатация сотовых маршрутизаторов обеспечивает злоумышленникам децентрализованную рассылку от имени легитимных SIM‑карт в разных странах, что снижает эффективность простых механизмов фильтрации. В индустриальной среде такие инциденты создают дополнительные риски: от утечки данных и компрометации смежных сегментов до SMS‑мошенничества и “пампинга” с прямыми финансовыми потерями на стороне владельцев SIM.
Рекомендации: как защитить маршрутизаторы Milesight и инфраструктуру
Что делать владельцам Milesight:
- Немедленно обновить прошивки до версии 35.3.0.7 и выше; проверить наличие hotfix‑патчей от вендора.
- Закрыть неаутентифицированные API и веб‑интерфейсы от внешнего доступа; публиковать управление только через VPN/Zero Trust с многофакторной аутентификацией.
- Отключить/ограничить SMS‑функции управления, если они не критичны; включить rate limiting и гео‑фильтры на отправку SMS.
- Заменить дефолтные учетные записи, внедрить политики сложных паролей и ротации секретов.
- Мониторить объемы SMS и аномалии через MNO/биллинг; настроить алерты по всплескам отправки и по неизвестным направлениям.
- Сегментировать IIoT/OT‑сети, закрыть прямой выход в интернет для управляющих интерфейсов, применять списки контроля доступа (ACL).
- Проверить установленные Python‑скрипты/планировщики на предмет несанкционированных задач; проводить регулярный аудит конфигурации.
Кампании smishing, реализованные через уязвимые сотовые маршрутизаторы, показывают, что для масштабных фишинговых операций не требуется дорогостоящая инфраструктура. Организациям следует инвентаризировать IoT/IIoT‑активы, убрать открытые интерфейсы из интернета, оперативно обновлять прошивки и выстроить мониторинг трафика и биллинга. Это минимизирует возможность превращения промышленных маршрутизаторов в невидимые рассыльщики фишинговых SMS и снижает как технические, так и финансовые риски.
