Исследователи в области кибербезопасности сообщили о выявлении новой атаки на сети мобильных операторов, которую использовала неизвестная компания по наблюдению с Ближнего Востока. Благодаря этой атаке злоумышленникам удалось получить доступ к информации о местоположении мобильных телефонов абонентов без их ведома.
Об этом сообщает ProIT
Как работает атака через протокол SS7
Ключевым элементом атаки является использование уязвимости в системе SS7 (Signaling System 7) — наборе протоколов, которые применяют мобильные операторы по всему миру для маршрутизации звонков и текстовых сообщений. Через SS7 операторы могут запрашивать данные о том, к какой именно базовой станции подключен телефон, что обычно необходимо для точного начисления средств при международных вызовах или сообщениях.
Однако злоумышленникам удалось обойти защитные меры, которые операторы устанавливали для предотвращения несанкционированного доступа к SS7. По данным компании Enea, которая специализируется на кибербезопасности и защите сетей, подобные атаки начали фиксироваться еще с конца 2024 года. Известно, что эта техника позволяет определить местоположение лица с точностью до нескольких сотен метров, особенно в крупных городах с плотной застройкой.
Рост угроз и реакция мобильных операторов
Катал Мак Дейд, вице-президент по технологиям в компании Enea, отметил, что жертвами атаки стали лишь несколько абонентов, а сама атака не работала против всех операторов. Enea проинформировала одного из операторов, в сети которого фиксировалась активность, однако имя компании-наблюдателя не раскрывается. Известно лишь, что она расположена на Ближнем Востоке.
“Мы ожидаем, что подобных атак будет выявлено и использовано еще больше”, — отметил Мак Дейд.
Компании, занимающиеся наблюдением, обычно сотрудничают с государственными структурами и предоставляют им инструменты для сбора разведданных или контроля за конкретными лицами. Хотя официально такие технологии позиционируются как средство борьбы с серьезными преступлениями, на практике они часто используются против общественных активистов, журналистов и других представителей гражданского общества.
В прошлом операторы наблюдения получали доступ к SS7 через местных мобильных операторов, арендованные “глобальные титулы” или с помощью правительственных связей. Поскольку атаки происходят на уровне сети, обычные абоненты практически не имеют возможности самостоятельно защититься. Основная защита обеспечивается самими телекоммуникационными компаниями, внедряя сетевые файрволы и другие киберзащитные решения.
Однако из-за сложности и неоднородности глобальной мобильной инфраструктуры уровень защиты у различных операторов значительно различается. Даже в США не все операторы обеспечивают одинаковую безопасность своих абонентов.
Согласно письму, отправленному в прошлом году в офис сенатора Рона Уайдена, Министерство внутренней безопасности США еще с 2017 года сообщало о том, что некоторые страны, в частности Китай, Иран, Израиль и Россия, использовали уязвимости SS7 для “эксплуатации абонентов в США”. Саудовская Аравия также была уличена в злоупотреблении этими недостатками для слежки за своими гражданами в США.