Commerciële surveillancecampagnes misbruiken zwakke plekken in telecomnetwerken

Onderzoekers van het Citizen Lab van de Universiteit van Toronto hebben twee onbekende partijen geïdentificeerd die commerciële surveillancetools inzetten om zwakke plekken in mobiele telecomnetwerken te misbruiken. Volgens een onderzoekspublicatie van donderdag is dit de eerste keer dat ‘echte aanvalsverkeer’ direct gekoppeld wordt aan de signaleringsinfrastructuur van mobiele operators.

De aanvallers imiteerden de identiteit van mobiele operators met aangepaste surveillancetools. Ze manipuleerden signaleringsprotocollen en stuurden verkeer om via netwerkpaden te verdwijnen, aldus het rapport. “Onze bevindingen tonen een structureel probleem in de wereldwijde telecommunicatie: infrastructuur die bedoeld is voor naadloze internationale connectiviteit, wordt nu gebruikt voor geheime surveillanceoperaties die moeilijk te monitoren, toeschrijven en reguleren zijn,” aldus het rapport.

Ondanks herhaalde publieke rapportages over dergelijke activiteiten, gaat deze praktijk onverminderd door zonder gevolgen, schrijven onderzoekers Gary Miller en Swantje Lange. “Het gebruik van mobiele netwerken, gebaseerd op een model van vertrouwen tussen operators en afhankelijk van wereldwijde gebruikers, roept bredere vragen op voor nationale toezichthouders, beleidsmakers en de telecomsector over verantwoordelijkheid, toezicht en mondiale veiligheid.”

De aanvallers maakten gebruik van identifiers en infrastructuur van operators wereldwijd, waaronder netwerken in Cambodja, China, Jersey, Israël, Italië, Lesotho, Liechtenstein, Marokko, Mozambique, Namibië, Polen, Rwanda, Zweden, Zwitserland, Thailand, Oeganda en het Verenigd Koninkrijk. Ze schakelden tussen de SS7- en Diameter-protocollen, waarbij Diameter bedoeld was als veiliger alternatief voor SS7. Toch opende de Amerikaanse Federal Communications Commission (FCC) in 2024 een onderzoek naar de kwetsbaarheden van beide protocollen, en senator Ron Wyden vroeg om een rapport van de Cybersecurity and Information Security Agency (CISA) over de risico’s van deze protocollen.

Het identificeren van de gebruikte surveillancevendors of de achterliggende partijen bleek voor de onderzoekers onmogelijk. “Er zijn talloze bekende surveillancevendors en kwaadwillenden in deze sector, maar door de gesloten aard van telecomsignaleringsprotocollen kunnen deze vendors anoniem blijven,” aldus Ron Deibert, directeur van Citizen Lab, in zijn nieuwsbrief. “Veel van hun schadelijke activiteiten vermengen zich met de miljarden normale berichten en roaming-signalen. Ze fungeren als ‘spookoperators’ binnen het mondiale telecomevenwicht.”

Een van de operators genoemd in het rapport, 019 Mobile uit Israël, reageerde dat het de in het rapport genoemde hostnamen niet herkende als onderdeel van hun netwerkknooppunten en de activiteiten niet kon toeschrijven aan hun infrastructuur. Operator Sure verklaarde tegenover TechCrunch dat het geen bewust toegang verleent aan organisaties die individuen traceren en maatregelen heeft genomen om misbruik te voorkomen. 019 Mobile, Sure en Tango Networks UK reageerden niet op verzoeken om commentaar van CyberScoop.

Het rapport van Citizen Lab toont begrip voor de operators: “De geobserveerde signaleringsadressen in de aanvallen impliceren niet per definitie directe betrokkenheid van de operators.”