Злоумышленники используют маршрутизаторы Milesight для реализации фишинговых рассылок.
Объектами атак стали IoT-устройства компании Milesight IoT Co., Ltd. Оборудование применяется для управления объектами промышленной инфраструктуры, такими как светофоры и счётчики энергии, путём интеграции с мобильными сетями 3G/4G/5G. Маршрутизаторы оснащены SIM-картами и могут находиться в управлении через SMS-команды, скрипты на Python и web-интерфейсы.
Специалистам Sekoia удалось обнаружить наличие сетевого маршрутизатора, который использовался для фишинговой рассылки URL-адресов. Анализ показал более 18 тысяч аналогичных устройств, которые находятся в открытом доступе. Из них почти 600 имеют незакрытые административные интерфейсы. Подавляющее число взломанных устройств работает на старых прошивках.
Жертвы получали SMS с просьбой войти в аккаунт для подтверждения личности. Сообщения отправлялись якобы государственными сервисами и содержали ссылки. Они вели на фальшивые сайты, которые собирали учетные данные.
Эксперты отмечают, что крупные фишинговые операции можно проводить с помощью простой инфраструктуры. Предполагается, что подобные устройства используются в других кампаниях.
Пока точные методы проникновения остаются неизвестными. Вероятно, используется уязвимость CVE-2023-43261, исправленная производителем в 2023 году в версии 35.3.0.7. Большинство обнаруженных устройств работали на более ранних прошивках.
Объектами атак стали IoT-устройства компании Milesight IoT Co., Ltd. Оборудование применяется для управления объектами промышленной инфраструктуры, такими как светофоры и счётчики энергии, путём интеграции с мобильными сетями 3G/4G/5G. Маршрутизаторы оснащены SIM-картами и могут находиться в управлении через SMS-команды, скрипты на Python и web-интерфейсы.
Специалистам Sekoia удалось обнаружить наличие сетевого маршрутизатора, который использовался для фишинговой рассылки URL-адресов. Анализ показал более 18 тысяч аналогичных устройств, которые находятся в открытом доступе. Из них почти 600 имеют незакрытые административные интерфейсы. Подавляющее число взломанных устройств работает на старых прошивках.
Жертвы получали SMS с просьбой войти в аккаунт для подтверждения личности. Сообщения отправлялись якобы государственными сервисами и содержали ссылки. Они вели на фальшивые сайты, которые собирали учетные данные.
Эксперты отмечают, что крупные фишинговые операции можно проводить с помощью простой инфраструктуры. Предполагается, что подобные устройства используются в других кампаниях.
Пока точные методы проникновения остаются неизвестными. Вероятно, используется уязвимость CVE-2023-43261, исправленная производителем в 2023 году в версии 35.3.0.7. Большинство обнаруженных устройств работали на более ранних прошивках.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь