Дослідники з кібербезпеки повідомили про виявлення нової атаки на мережі мобільних операторів, яку використала невідома компанія зі спостереження з Близького Сходу. Завдяки цій атаці зловмисникам вдалося отримати доступ до інформації про місцезнаходження мобільних телефонів абонентів без їхнього відома.
Про це розповідає ProIT
Як працює атака через протокол SS7
Ключовим елементом атаки є використання уразливості в системі SS7 (Signaling System 7) — наборі протоколів, які застосовують мобільні оператори по всьому світу для маршрутизації дзвінків та текстових повідомлень. Через SS7 оператори можуть запитувати дані про те, до якої саме базової станції під’єднаний телефон, що зазвичай потрібно для точного нарахування коштів при міжнародних викликах чи повідомленнях.
Однак зловмисникам вдалося обійти захисні заходи, які оператори встановлювали для запобігання несанкціонованому доступу до SS7. За даними компанії Enea, яка спеціалізується на кібербезпеці та захисті мереж, подібні атаки почали фіксувати ще з кінця 2024 року. Відомо, що ця техніка дозволяє визначити місцезнаходження особи з точністю до кількох сотень метрів, особливо у великих містах з щільною забудовою.
Зростання загроз та реакція мобільних операторів
Катал Мак Дейд, віцепрезидент з технологій у компанії Enea, зазначив, що жертвами атаки стали лише кілька абонентів, а сама атака не працювала проти всіх операторів. Enea поінформувала одного з операторів, у мережі якого фіксувалася активність, проте ім’я компанії-спостерігача не розголошується. Відомо лише, що вона розташована на Близькому Сході.
“Ми очікуємо, що подібних атак буде виявлено та використано ще більше”, — зазначив Мак Дейд.
Компанії, які займаються спостереженням, зазвичай співпрацюють із урядовими структурами і надають їм інструменти для збору розвідданих або контролю за конкретними особами. Хоча офіційно такі технології позиціонуються як засіб боротьби із серйозними злочинами, на практиці вони часто використовуються проти громадських активістів, журналістів та інших представників громадянського суспільства.
У минулому оператори спостереження отримували доступ до SS7 через місцевих мобільних операторів, орендовані “глобальні тайтли” або за допомогою урядових зв’язків. Оскільки атаки відбуваються на рівні мережі, звичайні абоненти практично не мають можливості самостійно захиститися. Основний захист забезпечують самі телекомунікаційні компанії, впроваджуючи мережеві фаєрволи та інші кіберзахисні рішення.
Однак через складність та неоднорідність глобальної мобільної інфраструктури рівень захисту у різних операторів значно відрізняється. Навіть у США не всі оператори забезпечують однакову безпеку своїх абонентів.
Згідно з листом, надісланим минулого року до офісу сенатора Рона Вайдена, Міністерство внутрішньої безпеки США ще з 2017 року повідомляло про те, що деякі країни, зокрема Китай, Іран, Ізраїль та росія, використовували уразливості SS7 для “експлуатації абонентів у США”. Саудівська Аравія також була викрита у зловживанні цими недоліками для стеження за своїми громадянами у США.