Onderzoekers van Sekoia.io hebben vastgesteld dat cybercriminelen op grote schaal misbruik maken van Milesight cellulaire routers om phishingberichten via sms te verspreiden. Dit wordt smishing genoemd.
Deze apparaten worden normaal gebruikt in industriële omgevingen, bijvoorbeeld om verkeerslichten, energiemeters en andere IoT-systemen via 3G, 4G of 5G te verbinden. De routers zijn uitgerust met SIM-kaarten en kunnen worden aangestuurd via sms, Python-scripts en webinterfaces.
De campagnes zijn volgens Sekoia al actief sinds 2022. Ze richten zich vooral op Europese landen. België springt eruit als primair doelwit met berichten die zich voordoen als officiële communicatie van CSAM en eBox. Ook in Frankrijk, Italië en Zweden zijn grootschalige aanvallen gedetecteerd. Wereldwijd staan er meer dan 18.000 van deze routers open op internet, waarvan honderden zonder enige vorm van beveiliging toegankelijk zijn. Veel apparaten draaien bovendien sterk verouderde firmware met bekende kwetsbaarheden.
Meerdere aanvalstechnieken
Een belangrijke zwakke plek is CVE-2023-43261. Dit is een fout in de configuratie waardoor logbestanden publiek bereikbaar waren. Daarin stonden versleutelde wachtwoorden, samen met de sleutels en initialisatievectoren om die encryptie ongedaan te maken. Zo konden aanvallers volledige toegang tot de routers krijgen. Toch blijkt niet elk incident op deze kwetsbaarheid terug te voeren. Sommige gecompromitteerde apparaten draaiden firmware die daar niet gevoelig voor was en bij andere voorbeelden pasten de aangetroffen authenticatiecookies niet bij de bekende decryptiemethode. Dit wijst erop dat er ook andere aanvalstechnieken in gebruik zijn.
De phishingwebsites waarnaar slachtoffers worden geleid, bevatten mechanismen die analyse bemoeilijken. Zo wordt gecontroleerd of een bezoeker een mobiel apparaat gebruikt en verschijnt de frauduleuze pagina alleen in dat geval. Andere pagina’s schakelen browserfuncties zoals rechtsklikken of debugtools uit, om onderzoek door beveiligingsspecialisten te frustreren.
Sekoia benadrukt dat deze manier van smishing relatief eenvoudig maar zeer effectief is. Door routers met een simkaart te misbruiken kunnen aanvallers sms’jes versturen vanuit talloze landen tegelijk, wat detectie en blokkade bemoeilijkt. Het beeld dat hieruit naar voren komt, is dat onopvallende IoT-apparaten, vaak ergens weggestopt in industriële installaties, een cruciale rol kunnen spelen in grootschalige phishingoperaties. De onderzoekers verwachten dat dit soort apparatuur ook in de toekomst doelwit blijft en roepen organisaties en gebruikers op alert te zijn op verdachte berichten met links.