Die betroffenen Router vom Typ UR35<\/strong> sind eigentlich f\u00fcr industrielle Anwendungen gedacht \u2013 etwa zur Vernetzung von Ampelanlagen oder Stromz\u00e4hlern. Sie nutzen 3G-, 4G- oder 5G-SIM-Karten und lassen sich per SMS, Webinterface oder Python-Skripten steuern. Laut Sekoia entdeckten Forscher in Honeypots verd\u00e4chtige Netzwerkaktivit\u00e4ten, die zur Identifizierung von mehr als 18.000 \u00f6ffentlich erreichbaren Routern<\/strong> f\u00fchrten. Mindestens 572 Ger\u00e4te<\/strong> waren ohne Authentifizierung zug\u00e4nglich. Viele liefen mit veralteter Firmware, teils \u00fcber drei Jahre alt, und wiesen bekannte Sicherheitsl\u00fccken auf.<\/p>\n Die Auswertung von SMS-Postf\u00e4chern und Versandprotokollen ergab, dass die Ger\u00e4te seit Oktober 2023 f\u00fcr sogenannte \u201eSmishing\u201c-Kampagnen<\/strong> (SMS-Phishing) missbraucht werden. Die Nachrichten richteten sich vor allem an Empf\u00e4nger in Schweden, Belgien und Italien<\/strong>. Inhaltlich forderten sie zum Login auf gef\u00e4lschten Websites auf, die staatliche oder beh\u00f6rdliche Dienste vort\u00e4uschen und Zugangsdaten abgreifen.<\/p>\n Sekoia beschreibt die Methode als \u201eunsophisticated, yet effective delivery vector<\/em>\u201c \u2013 technisch wenig anspruchsvoll, aber wirksam. Die verteilte Struktur erschwere es, die Kampagnen zu stoppen, da die SMS \u00fcber viele L\u00e4nder hinweg versendet werden.<\/p>\n Wie genau die Router kompromittiert wurden, ist laut Sekoia unklar. Eine m\u00f6gliche Ursache ist die Sicherheitsl\u00fccke CVE-2023-43261<\/strong>, die 2023 behoben wurde. Sie erlaubte \u00fcber eine Fehlkonfiguration Zugriff auf Dateien mit verschl\u00fcsselten, aber durch mitgelieferte Schl\u00fcssel leicht entschl\u00fcsselbaren Passw\u00f6rtern. Diese Schwachstelle betraf Firmware-Versionen bis Version 32<\/strong>; dennoch wurden auch neuere, eigentlich gepatchte Ger\u00e4te in den Angriffen gefunden.<\/p>\n Das l\u00e4sst laut Sekoia darauf schlie\u00dfen, dass auch andere, bislang unbekannte Angriffswege genutzt werden k\u00f6nnten. Der Hersteller Milesight<\/strong> reagierte auf eine Anfrage von Ars Technica<\/em> nicht.<\/p>\n Die zugeh\u00f6rigen Phishing-Seiten seien laut Sekoia technisch abgesichert, um Analyseversuche zu erschweren. JavaScript verhindere, dass Schadcode auf Desktop-Rechnern sichtbar wird, und blockiere Funktionen wie Rechtsklicks oder Debugging. Einige Seiten \u00fcbermitteln Nutzerdaten \u00fcber den Telegram-Bot \u201eGroozaBot\u201c<\/strong>, der mutma\u00dflich von einem Akteur namens \u201eGro_oza\u201c betrieben wird, der Arabisch und Franz\u00f6sisch spricht.<\/p>\n Der Fall zeigt, wie leicht allt\u00e4gliche IoT-Ger\u00e4te<\/strong> in gro\u00df angelegte Cyberkampagnen eingebunden werden k\u00f6nnen. Besonders problematisch ist, dass viele industrielle Router \u00fcber Jahre hinweg ohne Sicherheitsupdates betrieben werden. F\u00fcr Betreiber kritischer Infrastrukturen verdeutlicht der Vorfall, dass auch unscheinbare Netzwerkkomponenten ein erhebliches Risiko darstellen.<\/p>\nWeltweite Phishing-Kampagnen seit 2023<\/h3>\n
Unklarer Angriffsvektor<\/h3>\n
Tarnmechanismen und Telegram-Steuerung<\/h3>\n
Einsch\u00e4tzung<\/h3>\n
Zusammenfassung (tl;dr)<\/h3>\n