近年来物联网设备安全问题频发,而近期针对 Milesight 工业蜂窝路由器的短信滥用事件再次将设备暴露带来的风险推向聚光灯下。法国网络安全公司 SEKOIA 报告发现,自 2022 年起,未知威胁行为者通过滥用路由器的短信 API 发起大规模 smishing(短信钓鱼)活动,目标集中在欧洲多国,尤其是瑞典、意大利和比利时。攻击者利用路由器发送包含代码检测与重定向逻辑的钓鱼链接,以伪装成政府、银行、邮政或电信服务,诱导受害者在移动设备上泄露敏感信息或执行欺诈操作。 事件概况与攻击路径 本次事件的核心是部分 Milesight 工业蜂窝路由器暴露了短信相关的 HTTP API,使攻击者能够在无需认证的情况下发送短信、查询收件箱和发件箱。SEKOIA 的分析显示,公开可见的此类路由器大约有 1.8 万台,其中至少 572 台存在可被滥用的接口,且近一半位于欧洲。攻击者通过这些被滥用设备实现去中心化的短信分发,规避单点封锁并扩大地理覆盖面。
攻击链往往包括对公共互联网可达路由器的扫描与枚举、验证路由器是否支持发送短信的 API、使用受控手机号码测试发送能力、随后向目标国家或地区的手机号群发模拟合法机构的钓鱼短信。钓鱼链接采用错拼域名(typosquatting),并内嵌 JavaScript 脚本检测是否在移动设备上打开页面,只有在移动端才显示恶意内容,从而提高命中率并降低被安全研究人员分析的概率。 技术细节与已知漏洞 研究人员推断攻击者或借助 CVE-2023-43261 这一信息泄露漏洞实施滥用。该漏洞在两年前由安全研究员披露,CVSS 得分为 7.5,揭示出某些固件版本可能会泄露敏感信息或暴露管理接口。值得注意的是,除了已知 CVE 的利用外,部分设备即使运行较新固件仍因配置错误或管理员未正确限制访问而暴露短信接口,这表明攻击既可能依赖已修补的漏洞,也可能利用部署与运维中的弱点。 攻击者还通过部署特定恶意域名来承载钓鱼页面。
SEKOIA 提到的域名 jnsi[.]xyz 在早期活动中使用了防调试与右键禁用脚本,试图阻止分析并记录访问者信息到 Telegram 机器人(GroozaBot),该机器人与一个名为 "Gro_oza" 的操作者相关联,疑似使用阿拉伯语与法语。 这种攻击方式有几个显著特点:利用工业路由器的短信功能进行分散式投放、在钓鱼页面加入移动设备检测逻辑和抗分析机制、使用错拼域名冒充政府或金融机构,以及长期稳定地运行攻击行为以获取经济利益或数据收集。 受影响范围与行业暴露 被滥用的路由器以 Milesight 的工业蜂窝设备为主,这类设备通常部署在远程办公、分支机构网络、工控系统、零售终端和物联网网关中,用于提供移动数据接入与 SMS 服务。由于其部署地点分散、维护频率低且常与关键业务系统相连,一旦暴露将对组织的声誉与业务连续性带来严重风险。 SEKOIA 的观察显示,攻击主要影响欧洲用户,但由于路由器分布广泛,类似的滥用有潜力扩散到其他地区。受影响的钓鱼目标多为政府服务(例如儿童性虐待材料举报平台 CSAM、官方 eBox 服务)、银行、电信运营商与邮政服务,利用用户对这些品牌的信任来提高欺诈成功率。
为何工业路由器成为攻击首选 工业路由器具备若干吸引攻击者的特性。首先,这类设备通常具备蜂窝连接与短信功能,可作为短信投放的直接入口,攻击者不再需要仰赖第三方短信网关,从而降低成本并增加可控性。其次,很多设备直接连接到关键业务网络或用于远程管理,暴露的接口可能带来更高价值的目标或侧向渗透机会。再次,运营商或监管层面针对单一滥用源的封堵难度大,因为攻击分散于成百上千的设备,且这些设备的 IP 和地理位置各异。 此外,物联网设备通常由非安全专业人员配置与维护,默认配置、弱口令、未及时升级固件与开放管理接口等问题在行业内仍然普遍存在,这为攻击者提供了广阔的攻击面。 检测与指征 组织和个人可以通过多种手段检测是否存在此类滥用。
网络层面可以监控路由器与外部服务的异常 HTTP 请求模式,尤其是对短信相关 API 的频繁调用。设备日志与短信收发记录的不寻常变化也是重要指征,例如短时间内向未知号码大量发送短信、设备在非工作时间发起外部连接、或与异常域名的交互增加。 运营商侧也能提供帮助,通过分析短信发送量、目的地国别分布与发送号码特征,可识别出异常投放行为。对于组织内的路由器,可通过集中管理平台审查设备配置、固件版本与远程访问策略,查找可能暴露的管理接口。 缓解措施与修复建议 首先,立即检查所有 Milesight 路由器的固件版本,并对照厂商发布的安全通告与补丁进行升级。厂商已在后续固件中修复若干已知问题,及时更新是降低被滥用风险的首要步骤。
其次,限制路由器管理与 API 的公网访问,优先采用 VPN、SSH 隧道或安全的远程管理平台进行设备管理,避免将控制接口直接暴露在互联网上。 配置上应关闭不必要的短信 API 或至少对其访问实施认证与权限控制,使用强口令和基于密钥的认证机制,避免默认凭据。启用并定期检查访问控制列表,仅允许可信 IP 或管理网段访问管理接口。设备日志应集中化存储并纳入 SIEM 进行长期分析,以便及时发现异常行为。 对于已经被滥用的设备,建议立即断开网络连接并采集设备内存与日志以进行取证分析,同时重置相关凭据与安全配置。若怀疑遭受侧向渗透,应对内部网络进行割离与全面检查,确认是否有恶意后门或其他异常活动。
企业治理与供应链安全考量 此次事件再次强调了供应链安全与设备生命周期管理的重要性。企业在采购物联网设备时应将安全性纳入评估,包括厂商的漏洞响应能力、固件更新机制、默认配置的安全性以及是否提供集中化管理与日志功能。对承包商与运营商的访问权限应进行严格管理,并在采购合同中加入安全条款,要求厂商在发现漏洞后及时通报并提供补丁。 部署前需进行配置基线化,将安全硬化作为设备上线前的必要步骤。对于大量分布式设备,采用自动化补丁管理与统一配置管理工具可以大幅降低人为配置错误的风险。同时将设备纳入统一的资产管理系统,保证设备清单、固件版本与安全状态可追溯。
监管、合规与公共部门响应 政府与监管机构在打击此类跨国诈骗与滥用行为方面也有重要角色。监管部门可加强对关键通信设备安全的最低标准制定,要求制造商提供安全更新的时间窗与兼容生命周期说明。对于涉及公民个人信息保护的钓鱼目标,如银行与政府平台,应加强多因素认证与官方通知机制,以减少单一渠道的诈骗成功率。 跨国执法合作有助于追踪滥用设备的源头与关联的域名托管商、支付链路与 Telegram 机器人运营者。行业组织与 CERT(计算机应急响应小组)应建立信息共享机制,快速共享 IOC(恶意域名、发送号码、可疑 IP)与缓解建议,从而提高应急速度与打击效果。 用户教育与公众防护 最终用户仍然是防范 smishing 成功的关键环节。
公众应提升对短信钓鱼的警惕,核验可疑链接与来信方身份,避免在短信中直接点击要求提供敏感信息的链接。正规机构在需要用户操作时,应提供多种验证方式并在网页与短信中明确标识安全提示,例如官方域名列表、通过应用内通知而非短信进行关键事务提示等。 企业与服务提供商应积极开展员工与客户的安全意识培训,定期发布最新诈骗样式与样本,提高识别假冒短信的能力。对于高风险用户群体,例如财务人员或政府服务用户,建议启用更严格的账号保护措施与异常行为告警。 对未来风险的展望 随着物联网设备在工业、医疗、零售与智能城市中的广泛部署,此类设备若未得到充分保护,将越来越成为攻击者的放大器。攻击者会持续寻找可滥用的管理接口、默认凭据与弱认证机制,利用设备的地理分散性与通信能力实现去中心化的恶意投放。
厂商在设计阶段就应将安全纳入生命周期管理,包括安全启动、固件签名、最小化暴露服务与可更新性设计。 同时,网络防御方需要提升对物联网设备特有通信模式的可视性,构建面向设备的基线行为模型以及设备指纹识别机制,以便在早期发现异常并快速响应。运营商与托管服务提供者也应发挥更多监测与封堵作用,尤其是在短时间内出现异地短信激增或异常域名交互时能及时介入。 结语 Milesight 路由器被滥用以发送短信钓鱼的事件揭示了物联网生态中一个长期存在却容易被忽视的风险面。它提醒设备制造商、服务提供商、企业 IT 团队与个人用户都需要承担各自责任,通过补丁管理、网络隔离、配置硬化、日志分析和安全意识提升等多维度措施来减轻风险。只有建立横跨供应链、运营与监管的协同防御体系,才能在面对分散且复杂的滥用行为时,提高检测与应对能力,保护用户免受钓鱼与欺诈的侵害。
。
