Дослідники з безпеки стверджують, що викрили компанію зі спостереження на Близькому Сході, яка використовувала нову атаку, здатну обманом змусити телефонних операторів розкрити місцеперебування абонента стільникового зв’язку.
Атака базується на обході засобів безпеки, які оператори зв’язку встановили для захисту зловмисників від доступу до SS7, або Signaling System 7, приватного набору протоколів, що використовуються глобальними телефонними операторами для маршрутизації дзвінків та текстових повідомлень абонентів по всьому світу.
SS7 також дозволяє операторам зв’язку запитувати інформацію про те, до якої вежі стільникового зв’язку підключений телефон абонента, що зазвичай використовується для точного виставлення рахунків клієнтам, коли вони телефонують або надсилають текстові повідомлення, наприклад, комусь із-за кордону.
Дослідники Enea, компанії з кібербезпеки, яка забезпечує захист для операторів телефонного зв’язку, заявили цього тижня , що вони спостерігали, як неназваний постачальник послуг спостереження використовував нову атаку обходу ще наприкінці 2024 року, щоб отримати місцезнаходження телефонів людей без їхнього відома.
Віце-президент Enea з технологій Катал МакДейд, співавтор допису в блозі, розповів TechCrunch, що компанія помітила, що постачальник послуг спостереження націлився на «лише кількох абонентів», і що атака спрацювала не проти всіх операторів зв’язку.
МакДейд сказав, що обхідна атака дозволяє постачальнику послуг спостереження визначити місцезнаходження особи біля найближчої вежі стільникового зв’язку, яка в міських або густонаселених районах може бути звужена до кількох сотень метрів.
Enea повідомила телефонного оператора, що виявила використання експлойту, але відмовилася назвати постачальника послуг спостереження, зазначивши лише, що він базується на Близькому Сході.
МакДейд розповів TechCrunch, що атака була частиною зростаючої тенденції використання зловмисними операторами таких експлойтів для отримання місцезнаходження людини, попередивши, що постачальники, що стоять за їх використанням, «не виявлятимуть та не використовуватимуть їх, якщо вони десь не досягнуть успіху».
«Ми очікуємо, що буде знайдено та використано більше», – сказав МакДейд.
Постачальники послуг спостереження, серед яких можуть бути виробники шпигунських програм та постачальники послуг масового інтернет-трафіку, – це приватні компанії, які зазвичай працюють виключно на державних клієнтів для проведення операцій зі збору розвідувальних даних проти окремих осіб. Уряди часто стверджують, що використовують шпигунські програми та інші експлуататорські технології проти серйозних злочинців, але ці інструменти також використовувалися для атак на членів громадянського суспільства, включаючи журналістів та активістів .
У минулому постачальники систем спостереження отримували доступ до SS7 через місцевого телефонного оператора, неправомірно використаний орендований «глобальний титул» або через урядові зв’язки.
Але через природу цих атак, що відбуваються на рівні стільникової мережі, абоненти телефонного зв’язку мало що можуть зробити для захисту від експлуатації. Швидше, захист від цих атак значною мірою покладається на телекомунікаційні компанії.
В останні роки телефонні компанії встановили брандмауери та інші засоби кібербезпеки для захисту від атак SS7, але нерівномірний характер глобальної стільникової мережі означає, що не всі оператори так само захищені, як інші, зокрема у Сполучених Штатах.
Згідно з листом, надісланим до офісу сенатора Рона Вайдена минулого року, Міністерство внутрішньої безпеки США ще у 2017 році заявило, що кілька країн, зокрема Китай, Іран, Ізраїль та Росія, використовували вразливості в SS7 для «експлуатації американських абонентів». Саудівську Аравію також викрили у зловживанні недоліками SS7 для стеження за своїми громадянами у Сполучених Штатах.
No Comment! Be the first one.