Nowe kampanie szpiegowskie wykorzystują luki w sieciach telekomunikacyjnych do nielegalnego monitorowania

Ataki na infrastrukturę telekomunikacyjną

Badacze z Citizen Lab przy Uniwersytecie w Toronto opublikowali raport, w którym ujawniają nowe metody szpiegowskie polegające na wykorzystaniu luk w sieciach mobilnych. Według nich jest to pierwsze udokumentowane powiązanie rzeczywistego ruchu atakujących z infrastrukturą sygnalizacyjną operatorów telekomunikacyjnych.

Mechanizm działania atakujących

Dwie nieznane dotąd grupy przeprowadziły kampanie szpiegowskie, podszywając się pod operatorów sieci komórkowych za pomocą niestandardowych narzędzi do nadzoru. Manipulowały one protokołami sygnalizacyjnymi (SS7 i Diameter), aby ukryć swoją działalność i przekierować ruch sieciowy przez różne ścieżki.

„Nasze ustalenia ujawniają systemowy problem w globalnej telekomunikacji: infrastruktura operatorów, zaprojektowana do zapewnienia płynnej łączności międzynarodowej, jest wykorzystywana do tajnych operacji szpiegowskich, które trudno monitorować, przypisać do sprawców lub regulować” – czytamy w raporcie.

Zasięg ataków i zaangażowane sieci

Atakujący korzystali z identyfikatorów i infrastruktury powiązanej z operatorami na całym świecie, w tym z sieci działających w takich krajach jak:

• Kambodża
• Chiny
• Wyspa Jersey (terytorium zależne Wielkiej Brytanii)
• Izrael
• Włochy
• Lesotho
• Liechtenstein
• Maroko
• Mozambik
• Namibia
• Polska
• Rwanda
• Szwecja
• Szwajcaria
• Tajlandia
• Uganda
• Wielka Brytania

Napastnicy przełączali się między protokołami SS7 (używanym w sieciach 2G i 3G) a Diameter (stosowanym w 4G i częściowo 5G), mimo że ten drugi miał być bardziej bezpieczny.

Luki w protokołach sygnalizacyjnych

Federalna Komisja Łączności (FCC) w 2024 roku wszczęła dochodzenie dotyczące wielu luk w protokołach SS7 i Diameter. Senator Ron Wyden złożył wniosek o przygotowanie raportu przez Agencję Bezpieczeństwa Cybernetycznego i Informacyjnego (CISA) na temat podatności telekomunikacyjnych wynikających z tych protokołów.

Niestety, badacze nie byli w stanie zidentyfikować konkretnych dostawców narzędzi ani podmiotów stojących za atakami. „Rzeczywistość jest taka, że istnieje wiele znanych firm zajmujących się szpiegostwem oraz złych aktorów w tej branży. Ze względu na nieprzejrzystą naturę protokołów sygnalizacyjnych telekomunikacji, ci dostawcy mogą działać bez ujawniania swojej tożsamości” – napisał Ron Deibert, dyrektor Citizen Lab, w swoim newsletterze.

Reakcje operatorów

W raporcie zaznaczono, że zaobserwowane adresy sygnalizacyjne nie muszą oznaczać bezpośredniego udziału operatorów. Niemniej jednak niektórzy z nich wystosowali oficjalne stanowiska:

019 Mobile (Izrael) stwierdziło, że nie rozpoznaje hostów wymienionych w raporcie jako należących do ich sieci, a aktywność sygnalizacyjna nie może być przypisana do ich infrastruktury.

Sure (operator zależny od BT Group) poinformował, że nie świadomie nie udostępnia dostępu do sygnalizacji organizacjom zajmującym się śledzeniem osób, a także podjął kroki zapobiegawcze przeciwko nadużyciom.

Z kolei Tango Networks UK nie odpowiedział na prośbę o komentarz.

Wnioski i wyzwania dla branży telekomunikacyjnej

Eksperci podkreślają, że problem dotyczy nie tylko technicznych luk, ale także braku odpowiedzialności i nadzoru w globalnym ekosystemie telekomunikacyjnym. „Ciągłe wykorzystywanie sieci mobilnych, opartych na modelu zaufania między operatorami i powszechnie używanych przez użytkowników na całym świecie, stawia poważne pytania przed regulatorami, decydentami i samą branżą dotyczące odpowiedzialności, kontroli i bezpieczeństwa globalnego” – napisali autorzy raportu.

„Większość szkodliwych działań tych podmiotów wtapia się w ogromny strumień miliardów normalnych wiadomości i sygnałów roamingowych. Są one „duchami” w globalnym ekosystemie telekomunikacyjnym.” – Ron Deibert, dyrektor Citizen Lab