Kommersiella övervakningsverktyg utnyttjar kända telekom-sårbarheter

Forskare knyter ihop attacker med mobiloperatörers infrastruktur

Två okända aktörer har använt kommersiella övervakningsverktyg för att spåra sina mål genom att utnyttja sårbarheter i mobilnät. Enligt forskare vid University of Toronto’s Citizen Lab är detta första gången som "verklig attacktrafik har kopplats till mobiloperatörers signalinfrastruktur".

Manipulation av signalprotokoll för att dölja spår

Angriparna härma mobiloperatörers identiteter med specialanpassade verktyg och manipulerar signalprotokoll för att styra trafik genom nätverksvägar. På så sätt kan de dölja sina aktiviteter, enligt rapporten från Citizen Lab.

"Våra resultat belyser ett systematiskt problem i den globala telekommunikationen: operatörsinfrastruktur som är designad för att möjliggöra sömlös internationell uppkoppling används nu för att stödja dolda övervakningsoperationer. Dessa är svåra att övervaka, härleda och reglera."

Citizen Lab, i en rapport publicerad torsdagen den 12 september 2024

Oavbruten aktivitet trots upprepade varningar

Trots tidigare rapporteringar fortsätter aktiviteten utan konsekvenser, enligt Gary Miller och Swantje Lange från Citizen Lab. De understryker att den fortsatta användningen av mobilnät, som bygger på ett nära förtroendemodell mellan operatörer, väcker frågor om ansvar, tillsyn och global säkerhet.

Angripare använde operatörers identifierare världen över

Attackerna utnyttjade identifierare och infrastruktur kopplade till operatörer i flera länder, inklusive:

• Kambodja
• Kina
• Jersey (självstyrande ö)
• Israel
• Italien
• Lesotho
• Liechtenstein
• Marocko
• Moçambique
• Namibia
• Polen
• Rwanda
• Sverige
• Schweiz
• Thailand
• Uganda
• Storbritannien

Angriparna växlade mellan SS7- och Diameter-protokoll, som används för 3G respektive 4G/5G. Även om Diameter ansågs säkrare än SS7, har Federal Communications Commission (FCC) inlett en undersökning 2024 av sårbarheter i båda protokollen. Senator Ron Wyden har dessutom begärt en rapport från Cybersecurity and Information Security Agency om säkerhetsbristerna.

Oklarheter kring övervakningsleverantörer och bakomliggande aktörer

Citizen Lab kunde inte identifiera de leverantörer som låg bakom attackerna eller vem som stod bakom dem. Enligt Ron Deibert, chef för Citizen Lab, är många aktörer i denna bransch ogenomskinliga och kan operera utan att avslöja sin identitet.

"Många av de skadliga aktiviteter som utförs blandas in i de miljarder normala meddelanden och roaming-signaler som flödar genom nätverken. De är som 'spökoperatörer' inom det globala telekomsystemet."

Ron Deibert, chef för Citizen Lab

Operatörer förnekar inblandning

En av de operatörer som nämns i rapporten, 019 Mobile i Israel, uppgav att de inte känner igen de värdnamn som rapporterats som deras nätverksnoder. Sure, en annan operatör, meddelade att de inte medvetet hyr ut signalinfrastruktur till organisationer som använder den för att spåra individer. Sure har dessutom vidtagit åtgärder för att förhindra missbruk. Tango Networks UK och Sure svarade inte på förfrågningar om kommentar från CyberScoop.

Citizen Lab betonar dock att de observerade signaladresserna inte nödvändigtvis innebär att operatörerna varit direkt inblandade.