近期安全公司Sekoia披露了一波利用Milesight工业路由器通过内置SIM卡大规模发送钓鱼短信的活动,暴露出工业物联网(IoT)设备在全球范围内被滥用的现实风险。攻击者借助未更新或配置不当的Milesight路由器实现跨国SMS投放,受害国家包括瑞典、比利时和意大利等。本篇从事件回顾、攻击原理、风险评估到技术与管理层面的防护建议,系统梳理相关威胁并提出可落地的对策。值得注意的是,文中侧重防御与合规建议,不包含可被滥用的漏洞利用细节或攻击步骤。\n\n事件概况与发现过程\nSekoia的调查始于对网络蜜罐捕获到的可疑流量的分析,研究人员发现大量与Milesight工业路由器相关的网络痕迹。进一步探查显示,互联网上至少存在约18000台可访问的Milesight设备,其中至少572台公开暴露了未认证的API接口。
通过这些接口,研究团队能够读取部分设备的入站和出站短信内容,从中识别出自2023年10月起持续的多起钓鱼活动。攻击方通过短信引导受害人访问伪装成政务或服务登录页面的钓鱼网站,并收集凭证。攻击者同时采用JavaScript机制在非移动设备上隐藏恶意行为,并通过Telegram机器人GroozaBot等工具收集受害者行为信息或控制恶意基础设施。\n\n为何Milesight设备会被滥用\nMilesight的LTE/5G工业路由器常用于远程抄表、交通信号、工业监控等场景,设备自带SIM卡,支持通过SMS、Python脚本和Web界面远程管理。这样的设计初衷是为了便捷的远程维护,但也带来了被滥用的风险。大量设备运行的固件版本落后三年或更久,存在已知漏洞(例如CVE-2023-43261在2023年发布补丁并随固件35.3.0.7修复),而未打补丁的设备易被攻击者利用。
另一大问题是设备配置缺陷:弱口令、默认凭证、未限制的远程管理接口和未加固的API都为入侵者打开了方便的大门。因设备分布广泛且连接至各国移动网络,攻击者可以在不同法域内去中心化地发送短信,从而规避简单的封锁与追踪。\n\n攻击链与技术特征(高层描述)\n攻击者通常不需要复杂的基础设施就能实现大规模短信投放。核心要素包含被控制的物联网路由器、内置SIM卡及短信发送能力、托管或伪造的钓鱼落地页、以及用于自动化和数据收集的管理工具。钓鱼网站采用针对移动端优化的JavaScript和反调试手段来规避检测与分析;同时攻击者可能使用Telegram机器人等即时通讯工具实现远程监控和指令下发。重要的是理解攻击模式的可复制性:任何具备SMS发送能力且暴露管理接口的设备,都可能成为类似活动的载体。
\n\n对企业与工业现场的风险评估\n工业路由器被滥用带来的风险并不仅限于短信投放本身。首先,泄露的SMS可能包含敏感信息或双因素验证码,使得外部账户被劫持。其次,受感染设备所在的工业网络可能被进一步渗透,进而影响关键系统的可用性和可靠性。再者,跨境短信投放可能导致企业卷入法律和合规纠纷,尤其在数据保护与电信监管日益严格的背景下。最后,攻击者对IoT设备的滥用可能被用于广泛的社会工程或金融诈骗,造成品牌与公众信任的长期损害。\n\n设备所有者与管理员的关键防护措施\n及时更新固件并验证补丁状态是最基本也最有效的措施。
Milesight及其他厂商会发布安全补丁和固件版本,确保设备运行经官方签名和校验的版本,优先升级到包含已知漏洞修复的版本。禁用不必要的远程管理功能和SMS控制通道,设置设备仅通过受信任的管理网络或VPN访问,避免在公网环境中暴露Web管理接口。强制采用强密码策略,禁用或更换出厂默认凭证,并启用基于公钥的认证或两步验证等更强的认证手段。对设备API进行访问控制和认证,限制API的IP白名单,避免未认证接口返回敏感信息。对SIM卡管理实施更严格的策略,限制单卡发送量与频率,必要时与移动运营商合作设置短信发送阈值或告警。网络分段与最小权限原则应应用于工业网络,确保物联网设备与企业核心IT系统隔离,建立严格的流量控制和审计机制。
\n\n监测、检测与应急响应建议\n建立针对设备行为的基线,并在网络层和主机层监测异常短信发送流量、频繁的管理接口访问以及异常的API调用模式。集中化日志收集与短时速查能力对于识别突发滥用至关重要。配置对出站SMS相关API访问的告警,监控设备发送短信的时间模式和目标国家分布以发现异常。结合威胁情报来源,如Sekoia的报告、Indicators of Compromise(IOC)列表与相关CVE信息,定期比对并调整检测规则。若发现可能的设备入侵,应迅速隔离受感染设备、提取日志与短信记录进行溯源,并启动补丁更新与凭证重置流程。同时与本地运营商和法律机构协作,阻断恶意短信的发送并追查滥用源头。
\n\n运营商与供应链层面的责任与应对\n移动运营商可以通过限制单卡高频率短信发送、增强APIs的访问控制和提高对异常短信流量的检测能力来降低被滥用的风险。设备制造商需强化产品的安全生命周期管理,包括固件签名、自动更新机制、安全默认配置和更清晰的安全通知渠道。供应链方应在设备出厂时强制更改默认凭证,并提供易于使用的补丁管理工具。行业协会和监管机构可以推动对关键物联网设备的安全认证和最低配置标准,促使市场逐步淘汰长期不维护的设备型号。\n\n用户层面的防范建议与教育\n终端用户应对来源未知或异常的短信保持警惕,尤其是包含链接或要求输入凭证的短信。在遇到自称政府或服务机构的紧急验证请求时,应通过独立渠道核实该请求的真实性。
推荐在可能的情况下启用多因素认证且避免只依赖短信作为唯一的第二因素。对于企业用户,应定期开展安全意识培训,模拟钓鱼测试并强化对移动端社交工程风险的认识。\n\n法务与合规角度的考量\n跨国短信投放可能触及不同国家的通信与隐私法律,企业应了解并遵守相关法规,对外泄事件和滥用行为及时进行通报与记录。与运营商和执法机构建立快速沟通机制,可以在发现滥用时更有效地响应并减轻潜在合规风险。对于制造商,透明的补丁发布政策与用户通知机制有助于降低因产品缺陷引发的法律责任。\n\n长期防御与行业趋势展望\n工业物联网设备的安全需要从设计端、供应链和运营端共同发力。
未来趋势可能包括更广泛的远程设备证书管理、设备认证生态系统、以及由运营商侧提供的物联网安全网关服务。同时,随着监管压力与市场要求的提升,厂商将不得不将固件长期维护和安全补丁作为产品差异化竞争的一部分。安全研究机构与运营商协同监测可疑设备并共享情报,将成为阻断类似全球短信滥用活动的有效手段。\n\n结语与行动呼吁\nMilesight路由器被滥用发送钓鱼短信的事件再次提醒我们,工业物联网设备的安全不能被忽视。一个看似功能简单的远程管理接口或未更新的固件,都可能成为跨国诈骗的发动机。对设备所有者、网络管理员、运营商和制造商而言,立即评估设备状态、执行补丁管理、强化配置和监测体系是必须立即采取的行动。
通过技术、流程与监管的三方面协同,可以有效降低因物联网设备带来的安全隐患,保护公众与企业免受钓鱼与欺诈的侵害。 。
