Мы неоднократно писали о проблемах в сигнальном стеке протоколов
ОКС-7 (
SS7), используемом в телекоммуникационных сетях, и о том, какие атаки из этого могут следовать. Несмотря на то, что проблема старая и обсуждаемая уже не первый год на уровне
Минцифры и других причастных, какой-либо системной работы по наведению порядка в этой области не видно. Робкие телодвижения же сотовых операторов по защите своего сигнального сегмента не способны полностью устранить уязвимости.
А надо бы.
Канадская
Citizen Lab, которая ранее неоднократно наступала на хвост израильской
NSO Group, поставляющей кибершпионское ПО спецслужбам по всему миру,
вскрыла очередной нарыв, а именно подразделение
NSO Group - компанию
Circles.
Circles официально продаёт систему, которая вводит домашний коммутатор мобильного оператора в заблуждение относительно нахождения его абонента в роуминге и прикидывается новым гостевым оператором. Звучит не страшно? Поясняем - это сигнальная атака, которая направлена на перехват SMS и голосового трафика, так называемая GSM-петля.
К примеру, можно абсолютно незаметно послушать разговор. Или перехватить подтверждающие платеж SMS-сообщение. Или код SMS-подтверждения открытия новой сессии у мессенджера (поэтому мы и призываем включать 2FA).
Про причины, по которым это возможно, мы тоже писали, но вкратце повторим.
ОКС-7 разрабатывался в далеких 70-х и принципиально не содержит механизмов защиты трафика. На его основе функционируют и более поздние
Sigtran,
Diameter, и даже
GTP, на которых работают все современные и планируемые к введению в строй сотовые сети. Поэтому уязвимости
ОКС-7 переползли и на них.
Если у покупателя системы от
Circles достаточно тугой карман и сильное желание не палиться с подключением к национальным операторам мобильной связи, то израильтяне предлагают даже
Circles Cloud - облако, имеющее сопряжение с множеством операторов и позволяющее пасти интересующих абонентов с позиций всего мира.
Circles в своей работе использует продукты другой израильской компании
Check Point (инфосек вендор, ага). Исследователи осуществили поиск хоста
tracksystem .info, который используется
Circles для электронной почты, в файрволах
Check Point, и нашли 252 IP-адреса и 50 автономных систем, которые указывали на присутствие
Circles.
Citizen Lab выявили клиентов компании в 25 странах, включая
Австралию,
Данию,
Индонезию,
Нигерию,
Мексику и
ОАЭ.
Почитайте расследование, оно действительно интересное.
А мы можем сказать следующее. На использовании уязвимостей
ОКС-7 семитов ловят не первый раз. Еще в середине 10-х годов израильская
Comverse, в отношении американского филиала которой американские же спецслужбы проводили целую спецоперацию по вылавливанию шпионов
Моссада, публично предлагала сервис по установлению геопозиционирования сотового абонента в любой части света.
Но вот чтобы открыто продавать целую систему по прослушке через дырки в сигнальной сети? Хуцпа прет, господа, разливайте кошерный
Glenlivet!
