Исследование на проникновение
Специалисты Citizen Lab раскрыли схему слежки за смартфонами через ИТ-уязвимости сотовых сетей, исследователи опубликовали свой отчет под названием «Плохое соединение». В расследовании фигурируют три оператора, через которых регулярно проходил подозрительный трафик.
Citizen Lab — это канадский центр исследований, специализирующийся на исследовании кибербезопасности, правах человека и свободе интернета. Они занимаются мониторингом и анализом кибератак, цифрового надзора и других ИТ-угроз, а также помогают обезопасить пользователей от них, о чем писал CNews. Специалисты занимаются исследованиями, которые помогают раскрыть случаи цифрового нарушения прав человека, раскрыть ИТ-уязвимости в программном обеспечении (ПО) и ИТ-оборудовании, используемых правительственными структурами и другими организациями для цифрового надзора.
В документе отмечается, что ИТ-уязвимости в SMS-сообщениях и сигнальных протоколах сотовых сетей позволяют превращать смартфоны в инструменты слежки независимо от модели устройства и года его выпуска. В отчете приведены конкретные примеры операций, которые, по мнению исследователей, могли осуществляться коммерческими компаниями, специализирующимися на предоставлении услуг негласного наблюдения в различных странах.
Ряд компаний
В одной из описанных операций использовалась израильская технология геолокации, которая задействовала сети операторов сотовой связи 019 Mobile и Partner Communications. Обе компании категорически отвергли свою причастность к проведению каких-либо операций по слежке.
Другая, более сложная операция была связана со швейцарской компанией, которая фигурировала в расследовании израильской газеты Haaretz в 2023 г. По данным Citizen Lab, компания предоставляла возможность различным структурам, в том числе Rayzone, маскироваться под операторов связи и подключаться к устаревшим мобильным сетям через протокол SS7 (в России известен как ОКС-7 т.е. является основной системой сигнализации в мобильных сетях второго и третьего поколений 2G/3G). Это позволяло осуществлять отслеживание пользователей по всему миру.
Как это происходит
Протокол SS7 изначально был разработан для маршрутизации звонков и сообщений, обеспечения международного роуминга и взаимодействия между операторами. После десятилетнего расследования британские регуляторы запретили его использование в подобных целях, назвав такую практику одним из крупнейших источников вредоносного трафика в мобильных сетях.
В отчете Citizen Lab подчеркивается, что новые протоколы сигнализации, в частности Diameter, применяемый в сетях 4G и большинстве сетей 5G, изначально разрабатывались с существенно усиленными мерами безопасности. Среди них — поддержка transport layer security (TLS), шифрование IPsec и механизмы межсетевой аутентификации. Однако, как отмечают исследователи Citizen Lab, на практике операторы связи в полной мере не внедрили эти защитные механизмы. Они продолжают использовать модель доверия, аналогичную устаревшему протоколу SS7. Это сохраняет критические ИТ-уязвимости в инфраструктуре и позволяет разработчикам шпионского ПО успешно их эксплуатировать.
Согласно отчету Citizen Lab, с ноября 2022 по 2025 г. было зафиксировано более 500 попыток отслеживания местоположения пользователей в Таиланде, Южной Африке, Норвегии, Бангладеш, Малайзии и ряде других стран.
Обнаружение подозрительного трафика
Расследование началось с отдельного случая слежения за бизнесменом с Ближнего Востока, за перемещениями которого в течение четырех часов осуществлялось наблюдение. Данный эпизод позволил выявить гораздо более широкую схему.
По данным Citizen Lab, компания от имени своих клиентов обращалась к международной ИТ-системе мобильной связи для отслеживания местоположения целей. Часть запросов проходила через серверы оператора 019Mobile, инфраструктуру Partner Communications, а также через маршруты, связанные с Exelera Telecom.
Авторы отчета не раскрывают конкретные источники информации, однако указывают на ряд потенциальных участников событий, в том числе компанию Cognyte. По информации Haaretz, материнская компания Cognyte — Verint — реализовывала продукт SkyLock, основанный на технологии SS7, государственным заказчикам, включая структуры в Демократической Республике Конго. В документах также упоминаются связи с операторами связи в Таиланде, Малайзии, Индонезии, Вьетнаме и Конго — странах, где ранее фиксировались аналогичные случаи геолокационного слежения. В частности, один из операторов — AIS Thailand — фигурирует как источник трафика в рамках одной из выявленных кампаний.
Отдельная операция, описанная в отчете Citizen Lab, приписывается швейцарской компании Fink Telecom Services. Деятельность данной компании была раскрыта в 2023 г. в рамках совместного расследования изданий Haaretz и Lighthouse Reports. По имеющимся данным, компания предоставляла структурам, занимающимся слежкой, возможность использования протокола SS7 для отправки запросов в мобильные сети, имитируя при этом легитимных операторов связи. В отчете подчеркивается, что новая телекоммуникационная инфраструктура зачастую используется аналогичным образом со старыми ИТ-системами, а в ряде случаев обе инфраструктуры применяются совместно.
Специальные SMS
В отчете «Плохое соединение» также описывается метод SIMjacking. С помощью скрытых SMS-сообщений с определенными командами злоумышленники заставляют SIM-карту передавать данные о местоположении устройства без какого-либо уведомления пользователя и без видимых следов на телефоне.
По данным Citizen Lab, с конца 2022 г. было зафиксировано более 15700 подобных попыток.
Доказать обратное не смогли
Глава службы безопасности 019Mobile Гил Нагар (Gil Nagar) в комментарии Haaretz заявил, что компания является виртуальным оператором (MVNO), не обладает собственной сетью и не имеет роуминговых соглашений. В Citizen Lab допускают возможность подделки идентификационных данных самого оператора.
В компании Partner Communications в комментарии Haaretz заявили, что не имеют никакого отношения к указанной деятельности, и назвали любые попытки связать их имя с подобными операциями ошибочными.
Поделиться
