11/10/21
Специалисты ИБ-компаний Acronis и Search-Lab Роберт Нойманн (Robert Neumann) и Гергели Эберхардт (Gergely Eberhardt) раскрыли подробности о крупном подпольном сервисе SMS-рассылок, работавшем на основе бот-сети из тысяч взломанных маршрутизаторов TP-Link MR6400 со встроенной возможностью отправлять SMS-сообщения.
По меньшей мере с 2016 года взломанные мартшрутизаторы использовались для рассылки сообщений со ставками, кодами верификации, подтверждениями online-платежей или пожертвований или отправки загадочных сообщений, которые экспертам пока не удалось расшифровать.
В интервью изданию The Record Нойманн рассказал, что заинтересовался проблемой после того, как ему в руки попал зараженный маршрутизатор с поддержкой 4G, «преподнесший» своему владельцу огромный телефонный счет, львиную долю в котором составляла плата за исходящие SMS-сообщения, отправленные с SIM-карты на устройстве.
Как удалось выяснить, хакеры скомпрометировали маршрутизаторы, воспользовавшись обнаруженной в 2015 году уязвимостью (CVE-2015-3035), позволяющей без авторизации получить доступ к файлам на устройствах TP-Link. Нойман смог воспроизвести эксплоит, использующий CVE-2015-3035, для доступа к одной из LTE-функций маршрутизатора, служащей для «отправки сообщений, чтения входящих и исходящих SMS-цепочек, сбора информации о SIM-карте и модификации LAN и часовых настроек».
Хотя уязвимость была исправлена в версиях прошивок TP-Link, выпущенных после 2015 года, многие маршрутизаторы и по сей день остаются уязвимыми.
Нойманну не удалось идентифицировать создателей ботнета, как и обнаружить рекламу подпольного SMS-сервиса, однако разнообразие SMS-рассылок говорит о наличии широкой клиентской базы.
По словам экспертов, ботнет все еще работает, но с 2018 года его активность значительно снизилась.
«Отсутствие интереса у киберпреступников, обновление прошивки устройства до исправленной версии, переход на новую уязвимую модель с более высокой рыночной долей или блокировка [функций отправки SMS] на SIM-карте – все это может способствовать снижению активности», - отметил Нойманн.
