وأضاف الباحثون: “هذه الحملة ملحوظة من حيث أنها توضح كيف يمكن تنفيذ عمليات التأثير التأثير باستخدام البنية التحتية البسيطة التي يمكن الوصول إليها. بالنظر إلى الفائدة الاستراتيجية لهذه المعدات ، فمن المحتمل جدًا أن يتم استغلال أجهزة مماثلة بالفعل في حملات SMISHING المستمرة أو المستقبلية.”
قال Sekoia إنه من غير الواضح كيف يتم اختراق الأجهزة. أحد الاحتمالات هو من خلال CVE-2023-43261 ، وهو ضعف في أجهزة التوجيه التي تم إصلاحها في عام 2023 مع إصدار الإصدار 35.3.0.7 من البرامج الثابتة للجهاز. الغالبية العظمى من 572 تم تحديدها على أنها إصدارات RAN غير المضمونة 32 أو قبل ذلك.
نشأت CVE-2023-43261 من تكوين سوء التكوين الذي صنع الملفات في تخزين جهاز التوجيه متاحًا للجمهور من خلال واجهة ويب ، وفقًا لما نشرته Bipin Jitiya ، الباحث الذي اكتشف الضعف. من بين أشياء أخرى ، تحتوي بعض الملفات على كلمات مرور محمية تشفيرًا للحسابات ، بما في ذلك مسؤول الجهاز. بينما تم تشفير كلمة المرور ، تضمن الملف أيضًا مفتاح التشفير السري المستخدم و IV (متجه التهيئة) ، مما يسمح للمهاجم بالحصول على كلمة مرور النص العادي ثم الحصول على وصول إداري كامل.
وقال الباحثون إن هذه النظرية تتناقض مع بعض الحقائق التي تم اكتشافها في تحقيقهم. لأحدهم ، لا يمكن فك تشفير ملف تعريف ارتباط مصادقة موجود على أحد أجهزة التوجيه المخترقة المستخدمة في الحملة “باستخدام المفتاح والرابع الموصوف في المقالة” ، كما كتب الباحثون ، دون توضيح المزيد. علاوة على ذلك ، فإن بعض أجهزة التوجيه التي تم إساءة استخدامها في الحملات تدير إصدارات البرامج الثابتة التي لم تكن عرضة لـ CVE-2023-43261.
لم يستجب Milesight لرسالة تسعى للحصول على تعليق.
ركضت مواقع التصيد الإلكترونية JavaScript التي منعت الصفحات من تقديم محتوى ضار ما لم يتم الوصول إليه من جهاز محمول. قام أحد المواقع أيضًا بتشغيل JavaScript لتعطيل النقر بزر الماوس الأيمن وأدوات تصحيح الأخطاء في المتصفح. من المحتمل أن يتم إجراء كلتا التحركتين في محاولة لإعاقة التحليل والهندسة العكسية. ووجدت Sekoia أيضًا أن بعض المواقع التي قامت بتسجيل تفاعلات الزوار من خلال روبوت برقية يعرف باسم Grozabot. من المعروف أن الروبوت يديره ممثل يدعى “Gro_oza” ، ويبدو أنه يتحدث العربية والفرنسية.
بالنظر إلى انتشار رسائل Smooming والحجم الهائل ، يتساءل الناس غالبًا كيف يتمكن المحتالون من إرسال مليارات الرسائل شهريًا دون أن يتم القبض عليهم أو إيقافهم. يشير تحقيق Sekoia إلى أنه في كثير من الحالات ، تأتي الموارد من الصناديق الصغيرة التي يتم التغلب عليها في كثير من الأحيان في خزائن حارس في البيئات الصناعية.
