Giriş: Mobil Tehditlere Dikkat
Son yıllarda, kiber suçlular her geçen gün daha da sofistike yöntemlerle kullanıcıları hedef alıyor. Bu yazıda, Milesight markasına ait endüstriyel hücresel yönlendiricilerin nasıl bir istismar aracı haline geldiğini ve Avrupa’da kullanıcıları hedef alan smishing (SMS ile oltalama) saldırılarını inceleyeceğiz. Özellikle 2022 yılından itibaren bu tür saldırıların artış göstermesi, güvenlik farkındalığımızı artırmayı zorunlu kılıyor.
Milesight Yönlendiricilerinin İstismarı
French siber güvenlik firması SEKOIA, kötü niyetli aktörlerin Milesight yönlendiricilerin API’sini kullanarak Avrupa’daki kullanıcılara kötü amaçlı SMS mesajları gönderdiğini bildirdi. Bu saldırılar, özellikle İsveç, İtalya ve Belçika gibi ülkelerde yoğunlaşmıştır. Saldırıların amacı, kullanıcıları sahte web sitelerine yönlendirmek ve kişisel bilgilerini elde etmektir. Saldırganlar, typosquatting (benzer görünen alan adları oluşturma) taktiklerini kullanarak devlet platformları ile bankacılık, postal ve telekom hizmet sağlayıcılarını taklit eden bağlantılar paylaşmaktadır.
Sanal ortamda, yaklaşık 18.000 adet bu tür yönlendirici mevcutken, bunların en az 572’sinin potansiyel olarak savunmasız olduğu belirlenmiştir. Savunmasızlık, gelen ve giden mesajların API’lerini açığa çıkaran yönlendiricilerle ilişkilendirilmektedir. Bu savunmasız yönlendiricilerin yaklaşık yarısının Avrupa’da bulunduğu saptanmıştır.
SMS Mesajlarının Gelen Kutusuna Erişim
SEKOIA’nın raporunda belirtilen kritik noktalardan biri, yönlendiricilerin API’lerinin, hem gelen hem de giden SMS mesajlarını geri alma yeteneği sağlamasıdır. Bu durum, saldırganların kötü amaçlı SMS kampanyalarını yaymak için bu açığı aktif olarak kullandıklarını göstermektedir. Ayrıca, saldırganların cihaza arka kapı yüklemeye veya başka açıkları istismar etmeye yönelik herhangi bir girişimde bulunmadıkları göz önüne alındığında, bu durumun hedefe yönelik bir yaklaşım olduğunu ortaya koymaktadır.
Saldırıların kökeninin, CVE-2023-43261 kodlu, zamanında yamanmış bir bilgi ifşası açığını istismar ettiği düşünülmektedir. Bu açık, güvenlik araştırmacısı Bipin Jitiya tarafından iki yıl önce bildirildi. Hemen ardından, VulnCheck bu açığın, kamuya duyurulmasından kısa bir süre sonra kötüye kullanıldığını ortaya çıkarmıştır.
SMS ile Oltalama Yöntemleri
Araştırmalar, endüstriyel yönlendiricilerin SMS ile ilgili bazı özellikleri, örneğin mesaj gönderme ve SMS geçmişini görüntüleme gibi işlevleri, herhangi bir kimlik doğrulama gereksinimi olmadan açığa çıkardığını göstermektedir. Bu da, saldırıların başlangıcında saldırganların belirli bir yönlendiricinin SMS gönderebilirliğini doğrulamak için kendi kontrolündeki bir telefon numarasını hedef aldığını düşünülmektedir. Özellikle kötü yapılandırmalar nedeniyle bazı yönlendiricilerin güncel olmayan firmware versiyonlarıyla işlem yaparken, API’nin herkese açık erişilebilir olduğu tespit edilmiştir.
Bu tür saldırılarda kullanılan phishing URL’leri, kullanıcıların bankacılık bilgilerini güncellemelerini talep eden kötü amaçlı içerik sunan JavaScript kodları içerir. Uzmanlar, bu tür URL’lerin mobil cihazlardan ulaşıldığında çalışacak şekilde kodlandığını dikkat çekiyor.
Gelişen Saldırı Yöntemleri ve Sorumlular
2025 yılının Ocak ve Nisan ayları arasında gerçekleştirilen kampanyalardan birinde kullanılan jnsi[.]xyz alan adı, ayrıntılı analizlerin önüne geçmek amacıyla sağ tıklama eylemlerini ve tarayıcı hata ayıklama araçlarını devre dışı bırakan JavaScript kodları içermektedir. Bu sayfalarda ayrıca, GroozaBot adında bir Telegram botuna bağlantı sağlayan ziyaretçi kayıt sistemleri de tespit edilmiştir. Bu botun arkasındaki aktörün ise hem Arapça hem de Fransızca konuştuğu bilinmektedir.
Siber güvenlik uzmanları, bu smishing kampanyalarının, savunmasız hücresel yönlendiricilerin istismar edilmesi yoluyla gerçekleştirildiğini belirtmektedir. Bu durum, saldırganlar için özellikle dikkat çekici bir SMS dağıtım kanalı sunmaktadır. Yönlendiriciler, birden fazla ülkede merkezi olmayan SMS dağıtımına olanak tanıyarak, tespit ve müdahale çabalarını daha da karmaşık hale getirmektedir.
Kullanıcıların Alması Gereken Önlemler
Kullanıcılar, bu tür saldırılara karşı dikkatli davranmalı ve herhangi bir SMS ile gelen bağlantılara tıklamadan önce iyice kontrol etmelidir. Bankacılık bilgilerini güncellemeye çağıran mesajlar genellikle dolandırıcılık amacı taşır ve bu tür taleplerin resmi kanallar aracılığıyla yapılması gerektiği unutulmamalıdır. Ayrıca, cihazların güvenlik güncellemelerinin düzenli yapılması, olası istismarların önüne geçmek için kritik öneme sahiptir.
