Неизвестные хакеры эксплуатируют уязвимости и неверные конфигурации в промышленных сотовых маршрутизаторах Milesight для проведения крупномасштабной смишинг-кампании. Атака, активная как минимум с февраля 2022 года, нацелена на пользователей в Европе. Злоумышленники рассылают SMS-сообщения с вредоносными ссылками, которые имитируют правительственные, банковские и почтовые сервисы с целью кражи финансовой информации.
Кампания затрагивает преимущественно пользователей в Швеции, Италии и Бельгии. Хакеры выдают себя за государственные платформы, такие как CSAM и eBox, а также за банки, почтовые службы и телекоммуникационных провайдеров. Операция отличается децентрализованным методом доставки сообщений, что значительно усложняет её обнаружение и пресечение.
Методология атаки состоит из двух этапов. Сначала злоумышленники проверяют, является ли конкретный маршрутизатор уязвимым, отправляя тестовое SMS на подконтрольный им номер телефона. Убедившись в успехе, они используют открытый API маршрутизатора для массовой рассылки фишинговых SMS-сообщений потенциальным жертвам. Социальная инженерия заключается в том, что пользователям предлагается обновить банковскую информацию для получения якобы положенного им возмещения.
Фишинговые страницы содержат JavaScript-код, который в первую очередь проверяет, зашел ли пользователь с мобильного устройства, и только после этого загружает вредоносный контент. Один из доменов кампании, jnsi[.]xyz, был активен с января по апрель 2024 года. На этих страницах использовался скрипт для отключения правого клика мыши и инструментов отладки браузера, что мешало анализу. Все подключения посетителей к фишинговым страницам регистрировались через Telegram-бота.
Основной технической причиной атак является уязвимость раскрытия информации CVE-2023-43261 с высоким рейтингом опасности CVSS 7.5. Она была обнаружена исследователем безопасности Бипином Джития за два года до начала активной эксплуатации. Суть уязвимости заключается в том, что некоторые модели маршрутизаторов Milesight предоставляют доступ к функциям отправки и просмотра SMS через API без какой-либо аутентификации.
Проблема усугубляется неверными настройками оборудования. Атакам подвергались даже маршрутизаторы с обновленной прошивкой, не подверженные CVE-2023-43261, если их API был общедоступен в интернете. По данным аналитиков, в сети находится 18 000 маршрутизаторов Milesight, из которых 572 были оценены как потенциально уязвимые из-за открытого доступа к API для работы с SMS. Примерно половина этих уязвимых устройств расположена в Европе.
Личности хакеров остаются неизвестными. С кампанией связывают персону под псевдонимом "Gro_oza", которая, предположительно, говорит на арабском и французском языках. Для сбора информации о жертвах, перешедших по ссылкам, использовался Telegram-бот под названием GroozaBot.
Мотивы злоумышленников носят исключительно финансовый характер и сфокусированы на смишинге. Аналитики французской компании по кибербезопасности SEKOIA не обнаружили никаких доказательств того, что хакеры пытались установить бэкдоры или использовать другие уязвимости для получения полного контроля над скомпрометированными маршрутизаторами.
Эксперты из SEKOIA описывают использование уязвимых сотовых маршрутизаторов как «относительно незамысловатый, но эффективный» метод доставки вредоносного контента. Привлекательность такого подхода для злоумышленников заключается в возможности организовать децентрализованную рассылку SMS в разных странах. Такая распределенная структура делает усилия властей и команд безопасности по обнаружению и блокировке кампании значительно более сложными.
Изображение носит иллюстративный характер
Кампания затрагивает преимущественно пользователей в Швеции, Италии и Бельгии. Хакеры выдают себя за государственные платформы, такие как CSAM и eBox, а также за банки, почтовые службы и телекоммуникационных провайдеров. Операция отличается децентрализованным методом доставки сообщений, что значительно усложняет её обнаружение и пресечение.
Методология атаки состоит из двух этапов. Сначала злоумышленники проверяют, является ли конкретный маршрутизатор уязвимым, отправляя тестовое SMS на подконтрольный им номер телефона. Убедившись в успехе, они используют открытый API маршрутизатора для массовой рассылки фишинговых SMS-сообщений потенциальным жертвам. Социальная инженерия заключается в том, что пользователям предлагается обновить банковскую информацию для получения якобы положенного им возмещения.
Фишинговые страницы содержат JavaScript-код, который в первую очередь проверяет, зашел ли пользователь с мобильного устройства, и только после этого загружает вредоносный контент. Один из доменов кампании, jnsi[.]xyz, был активен с января по апрель 2024 года. На этих страницах использовался скрипт для отключения правого клика мыши и инструментов отладки браузера, что мешало анализу. Все подключения посетителей к фишинговым страницам регистрировались через Telegram-бота.
Основной технической причиной атак является уязвимость раскрытия информации CVE-2023-43261 с высоким рейтингом опасности CVSS 7.5. Она была обнаружена исследователем безопасности Бипином Джития за два года до начала активной эксплуатации. Суть уязвимости заключается в том, что некоторые модели маршрутизаторов Milesight предоставляют доступ к функциям отправки и просмотра SMS через API без какой-либо аутентификации.
Проблема усугубляется неверными настройками оборудования. Атакам подвергались даже маршрутизаторы с обновленной прошивкой, не подверженные CVE-2023-43261, если их API был общедоступен в интернете. По данным аналитиков, в сети находится 18 000 маршрутизаторов Milesight, из которых 572 были оценены как потенциально уязвимые из-за открытого доступа к API для работы с SMS. Примерно половина этих уязвимых устройств расположена в Европе.
Личности хакеров остаются неизвестными. С кампанией связывают персону под псевдонимом "Gro_oza", которая, предположительно, говорит на арабском и французском языках. Для сбора информации о жертвах, перешедших по ссылкам, использовался Telegram-бот под названием GroozaBot.
Мотивы злоумышленников носят исключительно финансовый характер и сфокусированы на смишинге. Аналитики французской компании по кибербезопасности SEKOIA не обнаружили никаких доказательств того, что хакеры пытались установить бэкдоры или использовать другие уязвимости для получения полного контроля над скомпрометированными маршрутизаторами.
Эксперты из SEKOIA описывают использование уязвимых сотовых маршрутизаторов как «относительно незамысловатый, но эффективный» метод доставки вредоносного контента. Привлекательность такого подхода для злоумышленников заключается в возможности организовать децентрализованную рассылку SMS в разных странах. Такая распределенная структура делает усилия властей и команд безопасности по обнаружению и блокировке кампании значительно более сложными.
