Son zamanlarda karşılaştığınız rahatsız edici o kısa mesajlı dolandırıcılık (SMS phishing) denemelerinin, endüstriyel ortamlarda kullanılan güvensiz hücresel yönlendiriciler aracılığıyla yapıldığı ortaya çıktı. Güvenlik araştırmacıları, bu tür kampanyaların 2023'ten bu yana devam ettiğini belirtiyor.
Çin merkezli bir firmanın ürettiği bu yönlendiriciler, trafik ışıkları, elektrik sayaçları ve diğer uzaktan kontrol edilen endüstriyel cihazları merkezi sistemlere bağlamak için hücresel ağları kullanan dayanıklı Nesnelerin İnterneti (IoT) cihazlarıdır. Bu cihazlar, 3G/4G/5G ağlarıyla uyumlu SIM kartlara sahip olup, metin mesajları, Python betikleri ve web arayüzleri aracılığıyla yönetilebiliyor.
Basit Ama Etkili Bir Dağıtım Yöntemi
Sekoia adlı bir güvenlik şirketi, yaptığı analizlerde şüpheli ağ trafiği izlerinin, SMS yoluyla oltalama bağlantıları içeren mesajlar göndermek için kötüye kullanılan bir hücresel yönlendiriciyi ortaya çıkardığını bildirdi. Araştırmacılar daha derinlemesine incelediklerinde, internette erişilebilen 18.000'den fazla benzer yönlendirici tespit etti. Bunların en az 572'sinin, programlama arayüzlerine herhangi bir güvenlik önlemi olmadan erişime izin verdiğini belirlediler. Bu yönlendiricilerin büyük çoğunluğunun, üç yıldan eski ve bilinen güvenlik açıklarına sahip firmware sürümleriyle çalıştığı gözlemlendi.
Araştırmacılar, kimlik doğrulaması gerektirmeyen bu programlama arayüzlerine gönderdikleri istekler sonucunda, yönlendiricilerin SMS gelen kutularındaki ve gönderilen mesajlardaki içeriklere ulaşabildiler. Elde edilen veriler, Ekim 2023'ten bu yana devam eden SMS tabanlı dolandırıcılık kampanyalarını gözler önüne serdi. Sahte metin mesajları, başta İsveç, Belçika ve İtalya olmak üzere çeşitli ülkelerdeki telefon numaralarına gönderiliyordu. Mesajlarda, kullanıcılardan kimliklerini doğrulamak amacıyla çeşitli hesaplara, genellikle kamu hizmetleriyle ilgili olanlara giriş yapmaları isteniyordu. Mesajlardaki bağlantılar ise kullanıcıları sahte web sitelerine yönlendirerek kişisel bilgilerini ele geçiriyordu.
Sekoia araştırmacıları, analiz edilen vakada oltalama kampanyalarının, nispeten basit ancak etkili bir dağıtım yöntemi olan güvenlik açığı bulunan hücresel yönlendiricilerin istismar edilmesiyle yürütüldüğünü belirtti. Bu cihazların, birden fazla ülkeye yayılan ve hem tespit hem de engelleme çabalarını zorlaştıran dağıtılmış SMS dağıtımına olanak tanıması, tehdit aktörleri için oldukça cazip hale geliyor.
Araştırmacılar, bu kampanyanın, basit ve erişilebilir altyapılarla ne kadar etkili oltalama operasyonlarının gerçekleştirilebileceğini gösterdiği için dikkat çekici olduğunu eklediler. Bu tür ekipmanların stratejik öneminden dolayı, benzer cihazların mevcut veya gelecekteki oltalama kampanyalarında zaten istismar ediliyor olması kuvvetle muhtemeldir.
Sekoia, cihazların tam olarak nasıl ele geçirildiğinin henüz belirsiz olduğunu söyledi. Bir olasılık olarak, 2023 yılında yayınlanan 35.3.0.7 firmware sürümüyle giderilen CVE-2023-43261 adlı bir güvenlik açığı gösteriliyor. Güvenli olmayan olarak tanımlanan 572 yönlendiricinin büyük çoğunluğunun 32 veya daha önceki sürümleri çalıştırdığı tespit edildi.
CVE-2023-43261 açığının, bir yönlendiricinin depolama alanındaki dosyaların bir web arayüzü aracılığıyla halka açık hale gelmesine neden olan yanlış bir yapılandırmadan kaynaklandığı belirtildi. Bu dosyalardan bazılarının, cihaz yöneticisi de dahil olmak üzere hesaplar için şifrelenmiş parolalar içerdiği, ancak dosyalarda bu parolaların şifrelenmesinde kullanılan anahtarın ve başlangıç vektörünün (IV) de bulunmasıyla saldırganların düz metin parolaları elde edip tam yönetici erişimi sağlayabildiği kaydedildi.
Ancak araştırmacılar, bu teorinin bazı gerçeklerle çeliştiğini de belirtti. Örneğin, kampanyada kullanılan hacklenmiş yönlendiricilerden birinde bulunan bir kimlik doğrulama çerezinin, makalede belirtilen anahtar ve IV ile çözülemediğini ifade ettiler. Ayrıca, kampanyalarda istismar edilen bazı yönlendiricilerin, CVE-2023-43261'e karşı savunmasız olmayan firmware sürümleriyle çalıştığı da görüldü.
İlgili firma konuyla ilgili bir yorum talebine yanıt vermedi.
Oltalama web siteleri, zararlı içerik sunulmasını engellemek için mobil cihazlardan erişilmediği sürece sayfaların yüklenmesini engelleyen JavaScript kodları kullanıyordu. Bir web sitesinde ayrıca sağ tıklama ve tarayıcı hata ayıklama araçlarını devre dışı bırakan JavaScript de bulunuyordu. Bu adımların her ikisinin de analiz ve tersine mühendisliği zorlaştırmayı amaçladığı düşünülüyor. Sekoia ayrıca, bazı sitelerin GroozaBot adlı bir Telegram botu aracılığıyla ziyaretçi etkileşimlerini kaydettiğini tespit etti. Bu botun, hem Arapça hem de Fransızca konuştuğu anlaşılan "Gro_oza" adlı bir kişi tarafından işletildiği biliniyor.
Oltalama mesajlarının yaygınlığı ve yüksek hacmi göz önüne alındığında, dolandırıcıların nasıl olup da yakalanmadan veya kapatılmadan ayda milyarlarca mesaj gönderebildikleri sıkça merak ediliyor. Sekoia'nın araştırması, birçok durumda bu kaynakların, endüstriyel ortamlarda gözden uzak köşelerde bulunan, küçük ve genellikle göz ardı edilen cihazlardan geldiğini düşündürüyor.
