Коммерческие инструменты слежки используют уязвимости мобильных сетей для скрытого отслеживания абонентов

Исследователи из Citizen Lab при Университете Торонто выявили новые кампании слежки, в которых коммерческие инструменты мониторинга используются для эксплуатации давно известных уязвимостей мобильных сетей. По данным отчёта, опубликованного в четверг, эти атаки впервые напрямую связали «реальный сетевой трафик с инфраструктурой сигнализации операторов».

Две неизвестные группы, стоящие за атаками, маскировались под мобильных операторов, используя специализированные инструменты слежки. Они манипулировали протоколами сигнализации, такими как SS7 и Diameter, чтобы перенаправлять трафик и скрывать следы активности. «Наши выводы подчёркивают системную проблему в глобальной телекоммуникационной отрасли: инфраструктура операторов, предназначенная для обеспечения бесперебойной международной связи, используется для поддержки скрытых операций слежки, которые сложно отследить, идентифицировать и регулировать», — говорится в отчёте.

«Несмотря на неоднократные публичные разоблачения, эта деятельность продолжается без изменений и последствий», — отмечают эксперты Gary Miller и Swantje Lange из Citizen Lab. «Использование мобильных сетей, построенных на модели доверия между операторами и зависящих от пользователей по всему миру, ставит перед национальными регуляторами, политиками и телеком-индустрией более широкие вопросы ответственности, контроля и глобальной безопасности».

Как работают атаки

Злоумышленники использовали идентификаторы и инфраструктуру операторов из разных стран, включая Камбоджу, Китай, Джерси, Израиль, Италию, Лесото, Лихтенштейн, Марокко, Мозамбик, Намибию, Польшу, Руанду, Швецию, Швейцарию, Таиланд, Уганду и Великобританию. Они переключались между протоколами SS7 (используется в сетях 3G) и Diameter (применяется в 4G и большей части сетей 5G).

Хотя Diameter считается более защищённым, чем SS7, в 2024 году FCC (Федеральная комиссия по связи США) инициировала расследование уязвимостей обоих протоколов. Сенатор Ron Wyden (Демократическая партия, Орегон) также потребовал от CISA предоставить отчёт о киберуязвимостях, связанных с этими протоколами.

Кто стоит за атаками?

Исследователи не смогли установить, какие именно коммерческие поставщики инструментов слежки были задействованы в кампаниях, а также кто их нанял. «В этой сфере действует множество известных поставщиков слежки и злоумышленников, но из-за закрытости протоколов сигнализации телеком-операторов эти компании могут работать, не раскрывая свою подлинную личность», — заявил Ron Deibert, директор Citizen Lab, в своём информационном бюллетене. «Многие из их вредоносных действий растворяются в огромном потоке нормальных сообщений и роуминговых сигналов. Они становятся „призрачными операторами“ в глобальной телеком-экосистеме».

Реакция операторов

Некоторые из операторов, упомянутых в отчёте, отвергли свою причастность. Израильский оператор 019 Mobile заявил, что не признаёт хостнеймы, указанные в отчёте, как принадлежащие его сети. Британский оператор Sure сообщил, что не предоставляет доступ к сигнализации организациям, использующим его для отслеживания пользователей, и уже предпринял меры для предотвращения злоупотреблений. Операторы Sure, 019 Mobile и британская компания Tango Networks UK не ответили на запросы о комментариях от издания CyberScoop.

В отчёте Citizen Lab подчёркивается, что обнаруженные в атаках адреса сигнализации операторов не обязательно указывают на их прямое участие в инцидентах.