Дослідники Sekoia зафіксували тривалі з 2023 року кампанії, у межах яких зловмисники перетворюють сотові маршрутизатори Milesight на розподілені шлюзи для розсилки фішингових SMS. Аналіз телеметрії з ханіпотів вказує: зламані пристрої працюють як децентралізована інфраструктура smishing, що ускладнює фільтрацію на рівні мобільних операторів та антиспам‑систем.
Smishing через IoT: як зловмисники використовують маршрутизатори Milesight
Промислові IoT‑маршрутизатори Milesight оснащуються SIM‑картами для 3G/4G/5G і застосовуються для підключення світлофорів, лічильників та інших віддалених вузлів. Пристрої підтримують керування через SMS, Python‑скрипти та веб‑інтерфейс. За даними Sekoia, скомпрометовані маршрутизатори розсилали SMS із фішинговими URL, що вели на підроблені сторінки входу.
Масштаб та технічні деталі експозиції Milesight
У відкритому інтернеті виявлено понад 18 000 доступних пристроїв Milesight, з яких щонайменше 572 мали відкриті програмні інтерфейси (API) без обов’язкової аутентифікації. Значна частина обладнання працює на прошивках, застарілих більш ніж на три роки, з відомими вразливостями та дефолтними налаштуваннями, що істотно підвищує ризик зловживань.
Вектори зламу: CVE‑2023‑43261 і хибні конфігурації
Однією з гіпотез є експлуатація CVE‑2023‑43261, усуненої у прошивці 35.3.0.7. Водночас частина уражених пристроїв працювала на версіях, не вразливих до цієї помилки, що вказує на альтернативні шляхи компрометації: відкриті або неправильно захищені API, слабкі паролі, незахищені веб‑консолі, а також модулі керування SMS і Python‑скриптами. Часто достатньо банальної експозиції сервісів в інтернет без автентифікації, аби отримати доступ до функцій надсилання повідомлень.
Ланцюжок атаки: від смс‑повідомлення до викрадення облікових даних
Фішингові SMS були орієнтовані на абонентів у різних країнах, з піками активності у Швеції, Бельгії та Італії. Повідомлення просили «підтвердити особу» або авторизуватися в акаунті, часто імітуючи держпослуги чи популярні онлайн‑сервіси. Посилання вели на фішингові сайти, де викрадалися логіни та паролі.
Для протидії аналізу зловмисники застосовували JavaScript‑перевірки і показували контент лише на мобільних пристроях; на окремих сторінках блокувався правий клік і засоби налагодження. Також спостерігалося використання Telegram‑бота GroozaBot для телеметрії відвідувань; оператор під ніком Gro_oza, імовірно, володіє арабською та французькою мовами.
Чому децентралізована smishing‑інфраструктура працює і чим це ризиковано для IIoT
Надсилання з легітимних SIM‑карт різних країн через децентралізовані вузли у вигляді IoT‑маршрутизаторів послаблює ефективність простих фільтрів і репутаційних блокувань. У промислових середовищах наслідки ширші за крадіжку облікових даних: можливі бічні переміщення в мережі, витік даних, а також SMS‑шахрайство та “pumping”, що веде до прямих фінансових втрат власників SIM.
Практичні рекомендації: як захистити Milesight та IIoT‑інфраструктуру
- Негайно оновити прошивки до 35.3.0.7 і вище; перевірити наявність hotfix‑патчів від вендора.
- Закрити неавтентифіковані API та веб‑інтерфейси від зовнішнього доступу; виносити керування лише через VPN/Zero Trust з MFA.
- Вимкнути або обмежити SMS‑керування, якщо воно некритичне; увімкнути rate limiting і геофільтри на вихідні SMS.
- Змінити дефолтні облікові записи; впровадити політики складних паролів і ротацію секретів.
- Моніторити обсяги SMS та аномалії через MNO/білінг; налаштувати сповіщення на сплески або нетипові напрямки.
- Сегментувати IIoT/OT‑мережі, обмежити прямий вихід в інтернет для консолей керування, застосувати ACL.
- Аудитувати встановлені Python‑скрипти та планувальники завдань; проводити регулярну перевірку конфігурацій.
Кампанії smishing, що використовують уразливі сотові маршрутизатори, демонструють: для масових фішингових операцій не потрібна дорога інфраструктура. Організаціям варто інвентаризувати IoT/IIoT‑активи, прибрати відкриті інтерфейси з інтернету, оперативно оновлювати прошивки та впровадити моніторинг трафіку й білінгу. Це знижує імовірність того, що промислові маршрутизатори стануть «невидимими» ретрансляторами фішингових SMS, і мінімізує як технічні, так і фінансові ризики.
