Yalnızca Avustralya’da internete bağlı yaklaşık 10.000 cihaza sahip endüstriyel hücresel yönlendiricilerin popüler bir yapısı, Kısa Mesajlaşma Servisi (SMS) metin spam veya smaching için saldırganlar tarafından istismar ediliyor.
Fransız güvenlik satıcısı Sekoia, bu yılın başlarında, yüzlerce millight hücresel yönlendiricinin uygulama programlama arayüzünün (API) kimlik avı mesajlarını metinler aracılığıyla sunmak için kullanıldığını keşfetti.
Kampanyanın hedefleri Belçika hükümet hizmet portallarıydı ve Avustralya hücresel yönlendiricilerinin de saldırıya uğradığı ortaya çıktı, Sekoia Siber Tehdit İstihbarat Analisti Jérémy Scion itnews.
Sekoia, Shodan tarama motorunu kullandı ve internet üzerinden erişilebilen 18.000’den fazla milight yönlendiricisini keşfetti.
Güvenlik satıcısının tehdit algılama ekibi 6643’ü test etti ve kötü niyetli metin mesajları göndermek için kullanılan gelen kutularına ve dış kutu API’lerine kimlik doğrulanmamış erişim sağlamak için 572 yönlendiricinin yanlış yapılandırıldığını buldu.
Saldırganların istismar etmeye çalıştığı yönlendiricilerin bazıları Avustralya’da bulunuyor.
Scion, “Shodan’a göre, dünya çapında en yüksek konsantrasyon olan Avustralya’da bu tür 9778 yönlendirici var.” Dedi.
“Yaklaşık 3000 Avustralya IP adresinden oluşan bir örneği hızla test ettik ve 90’ının herhangi bir kimlik doğrulaması olmadan SMS-Send/Alma API’sını açığa çıkardığını bulduk.”
90 kişiden en az altı tanesi Haziran ve Eylül ayları arasında hileli smacılık kampanyalarına katıldı ve yine bankacılık bilgilerini çalmak amacıyla Belçika’daki telefon numaralarını hedef aldı.
Abone kimlik modülü (SIM) kısıtlamaları, kredi eksikliği ve diğer faktörler nedeniyle Scion, kısa mesajların başarılı bir şekilde gönderilmediğini, ancak SMS’yi aktarma girişimlerinin sömürüyü kanıtladığını söyledi.
Scion, “Diğer yönlendiriciler farklı dolandırıcılık planları için istismar edilmiş gibi görünüyor.” Dedi.
Scion, Sekoia’nın saldırıları balayotlarından biri aracılığıyla tespit ettiğini söyledi.
Saldırgan, yönlendirici API ile kimlik doğrulaması yapmak için geçerli bir oturum çerezi sundu, ancak kimlik bilgilerinin nasıl elde edildiği belirsiz kaldı.
Sekoia, en azından Şubat 2022’den beri smaching kampanyasının aktif olduğunu düşünüyor.
Belçika dışında, Sekoia tarafından toplanan SMS spam örnekleri, dünya çapında diğer bazı ülkelerin saldırganlar tarafından hedeflendiğini gösterdi.
İsveç numaraları 42.000’den fazla mesaj gönderildi ve 31.000’den fazla İtalyan cihazı kitlesel smaçlama kampanyaları alıcılarıydı.
Mesajlarda ele alınan İnternet Protokolü’ne (IP) dayanarak, saldırganın altyapısı Litvanya Sanal Özel Sunucu (VPS) sağlayıcısının ağında gibi görünüyor.
Telegram Communications uygulamasındaki bir bot, kimlik avı bağlantılarını tıklayan ziyaretçilerin bağlantılarını kaydetmek için kullanıldı ve Sekoia, Quesiton’daki kanal operatörünün Arapça ve Fransızca konuştuğunu belirtti.
Scion, satıcı Milesight, Sekoia tarafından temasa geçilmediğini söyledi.
Scion, “Belgelendiğimiz şey, kendi başına bir yazılım güvenlik açığı değil, cihazın yanlış yapılandırılmasıdır.” Dedi.
“Ayrıca, etkilenen yönlendiricilerin büyük çoğunluğu modası geçmiş ürün yazılımı sürümleri yürütüyor.”
Itnews Konuyla ilgili yorum yapmak için Milesight’a yaklaştı.