Άγνωστοι κυβερνοεγκληματίες κάνουν κατάχρηση των βιομηχανικών κυψελοειδών δρομολογητών Milesight για την αποστολή SMS μηνυμάτων στο πλαίσιο μιας εκστρατείας smishing, στοχεύοντας χρήστες σε ευρωπαϊκές χώρες από τουλάχιστον τον Φεβρουάριο του 2022.
Η γαλλική εταιρεία κυβερνοασφάλειας SEKOIA δήλωσε ότι οι επιτιθέμενοι εκμεταλλεύονται το API του δρομολογητή για να στείλουν κακόβουλα SMS με phishing URL, με τις εκστρατείες να στοχεύουν κυρίως τη Σουηδία, την Ιταλία και το Βέλγιο, χρησιμοποιώντας typosquatted διευθύνσεις URL που μιμούνται κυβερνητικές πλατφόρμες όπως οι «CSAM» και «eBox», καθώς και τράπεζες, ταχυδρομεία και παρόχους τηλεπικοινωνιών.
Περισσότεροι από 500 ευάλωτοι δρομολογητές στην Ευρώπη
Από τους 18.000 δρομολογητές αυτού του τύπου που είναι προσβάσιμοι μέσω του δημόσιου διαδικτύου, τουλάχιστον 572 εκτιμάται ότι είναι δυνητικά ευάλωτοι επειδή εκθέτουν τα API των εισερχόμενων/εξερχόμενων μηνυμάτων. Περίπου οι μισοί από τους ευάλωτους δρομολογητές βρίσκονται στην Ευρώπη.
«Επιπλέον, το API επιτρέπει την ανάκτηση τόσο των εισερχόμενων όσο και των εξερχόμενων SMS μηνυμάτων, γεγονός που υποδεικνύει ότι η ευπάθεια έχει αξιοποιηθεί ενεργά για τη διάδοση κακόβουλων SMS εκστρατειών από τουλάχιστον τον Φεβρουάριο του 2022», ανέφερε η εταιρεία. «Δεν υπάρχουν ενδείξεις για οποιαδήποτε προσπάθεια εγκατάστασης backdoors ή εκμετάλλευσης άλλων ευπαθειών στη συσκευή. Αυτό υποδηλώνει μια στοχευμένη προσέγγιση, ευθυγραμμισμένη ειδικά με τις επιχειρήσεις smishing των επιτιθέμενων».
Εκμετάλλευση γνωστής ευπάθειας CVE-2023-43261
Πιστεύεται ότι οι επιτιθέμενοι εκμεταλλεύονται μια πλέον διορθωμένη ευπάθεια αποκάλυψης πληροφοριών που επηρεάζει τους δρομολογητές Milesight (CVE-2023-43261, βαθμολογία CVSS: 7.5), η οποία αποκαλύφθηκε από τον ερευνητή ασφαλείας Bipin Jitiya ακριβώς πριν από δύο χρόνια. Λίγες εβδομάδες αργότερα, η VulnCheck αποκάλυψε ότι η ευπάθεια μπορεί να είχε ήδη weaponized λίγο μετά τη δημόσια αποκάλυψή της.
Προσβάσιμες λειτουργίες SMS χωρίς έλεγχο ταυτότητας
Περαιτέρω έρευνα αποκάλυψε ότι κάποιοι από τους βιομηχανικούς δρομολογητές εκθέτουν λειτουργίες σχετικές με SMS, όπως η αποστολή μηνυμάτων ή η προβολή ιστορικού SMS, χωρίς να απαιτείται οποιασδήποτε μορφής ταυτοποίηση.
Οι επιθέσεις πιθανότατα περιλαμβάνουν μια αρχική φάση επαλήθευσης, κατά την οποία οι κυβερνοεγκληματίες επιχειρούν να επιβεβαιώσουν αν ένας δρομολογητής μπορεί να στείλει SMS στοχεύοντας έναν αριθμό τηλεφώνου υπό τον έλεγχό τους. Η SEKOIA σημείωσε περαιτέρω ότι το API θα μπορούσε επίσης να είναι δημόσια προσβάσιμο λόγω κακών ρυθμίσεων (misconfigurations), καθώς ορισμένοι δρομολογητές βρέθηκαν να τρέχουν πιο πρόσφατες εκδόσεις λογισμικού που δεν είναι ευάλωτες στο CVE-2023-43261.
Προσαρμοσμένα phishing URLs και παρακολούθηση μέσω Telegram
Οι διευθύνσεις phishing URL που διανέμονται με αυτή τη μέθοδο περιλαμβάνουν JavaScript που ελέγχει αν η σελίδα προβάλλεται από κινητή συσκευή πριν σερβίρει το κακόβουλο περιεχόμενο, το οποίο, με τη σειρά του, προτρέπει τους χρήστες να ενημερώσουν τα τραπεζικά τους στοιχεία για δήθεν επιστροφή χρημάτων.
Επιπλέον, ένα από τα domains που χρησιμοποιήθηκαν στις εκστρατείες μεταξύ Ιανουαρίου και Απριλίου 2025 – «jnsi[.]xyz» – περιέχει JavaScript που απενεργοποιεί το δεξί κλικ και τα εργαλεία αποσφαλμάτωσης του browser, προσπαθώντας να εμποδίσει τις αναλυτικές προσπάθειες. Ορισμένες σελίδες έχουν επίσης εντοπιστεί να καταγράφουν τις συνδέσεις των επισκεπτών σε ένα Telegram bot με το όνομα «GroozaBot», το οποίο χειρίζεται ένας δράστης με το όνομα «Gro_oza», που φαίνεται να μιλά αραβικά και γαλλικά.
Αποτελεσματική, αν και απλή μέθοδος επίθεσης
«Οι εκστρατείες smishing φαίνεται να έχουν πραγματοποιηθεί μέσω της εκμετάλλευσης ευάλωτων κυψελοειδών δρομολογητών – ένα σχετικά απλό, αλλά αποτελεσματικό, μέσο διάδοσης», δήλωσε η SEKOIA.
«Αυτές οι συσκευές είναι ιδιαίτερα ελκυστικές για τους επιτιθέμενους καθώς επιτρέπουν αποκεντρωμένη αποστολή SMS σε πολλές χώρες, καθιστώντας την ανίχνευση και την καταστολή πιο περίπλοκη».
