Атака на протокол SS7: как перехватить чужие звонки и SMS

Тема в разделе "Сотовая связь", создана пользователем Транклюкатор, 7 апр 2019.

  1. Транклюкатор

    Транклюкатор Господин ПЖ

    [​IMG]

    Как мы защищаемся на сегодняшний день от различных атак, нацеленных на получение вашего пароля? Кто-то делает максимально сложные пароли, кто-то устанавливает системы защиты от брутфорса и т.д. Но самые уверенные в своей защищенности те, кто пользуется популярной сегодня услугой - двухфакторной авторизация посредством SMS. Такие услуги предоставляют банки, известные мессенджеры (viber, telegram и т.д.), социальные сети (vkontakte, odnoklassniki и т.д.), почтовые системы (gmail, yandex и т.д.) и большое количество других интернет ресурсов, требующих регистрацию. Не просто так это метод считается самым безопасным. Ведь, априори, ваш мобильный телефон всегда при вас, как кошелек и другие личные вещи, за которыми вы пристально следите. К тому же он является вторым фактором аутентификации (используется только после ввода основного пароля). Но, как известно, если вы забыли свой пароль, всегда его можно восстановить посредством SMS на ваш телефон.

    И вот неожиданно настали неспокойные деньки и для пользователей SMS верификации. Уже сейчас есть возможность за небольшую сумму денег при наличии среднего уровня мастерства получить все ваши SMS так, что вы об этом никогда не узнаете!

    [​IMG]

    Список ресурсов, куда может получить доступ злоумышленник даже сложно представить (соцсети, мессенджеры, подтверждение банковских операций и т.д.). Ведь у нас «вся жизнь» привязана к нашему номеру телефона. Неспроста была введена поправка, которая разрешает переносить номер телефона при смене оператора. Сейчас сменить номер - это как начать новую жизнь с чистого листа.

    Случился такой разрыв шаблона благодаря уязвимости протокола SS7 в сетях операторов сотовой связи.

    Что такое SS7?
    Протокол SS7, также известный как Сигнализационная система № 7, относится к сети передачи данных и к ряду технических протоколов или правил, которые регулируют обмен данными по ним. Он был разработан в 1970-х годах для отслеживания и подключения вызовов в разных сетях операторов связи, но теперь он обычно используется для расчета биллинга сотовой связи и отправки текстовых сообщений в дополнение к маршрутизации мобильных и стационарных вызовов между операторами и региональными коммутационными центрами.

    История уязвимости
    [​IMG]

    Как не удивительно, но стало известно о наличии этой уязвимости еще в далекие времена. Еще всем известный Стив Джобс в своем гараже осуществил первые атаки, сделав, так называемую, бесплатную сотовую связь, используя уязвимости. С того времени часть недочетов была закрыта, но по прежнему SS7 подвержена удачным атакам.

    В феврале 2014 года посол США в Украине потерпел неприятную утечку. Секретный разговор между ним и помощником госсекретаря США Викторией Нуланд был опубликован на YouTube, в котором Нуланд говорил пренебрежительно о Европейском союзе.

    Разговор произошел по незашифрованным телефонам, и официальные лица США сообщили журналистам, что они подозревают, что звонок был перехвачен в Украине, но не сказали, как это было сделано. Некоторые эксперты считают, что это произошло с использованием уязвимостей в мобильной сети передачи данных, известной как SS7, которая является частью базовой инфраструктуры.

    Только в декабре 2014 года телекоммуникационные компании начали рассматривать инструменты пресечения атак SS7. Именно тогда Карстен Нол из Берлинских исследовательских лабораторий по безопасности и независимый исследователь по имени Тобиас Энгель выступили с сообщениями о SS7 на Конгрессе связи Хаоса в Германии, спустя несколько месяцев после обнаружения украинского инцидента. Энгель продемонстрировал SS7-метод для отслеживания телефонов в 2008 году, но этот метод не был настолько «кричащим», как те, которые он и Нол описали в 2014 году. Последнее побудило регулирующие органы в Северной Европе потребовать, чтобы операторы начали применять меры по предотвращению атак SS7 к концу 2015 года.

    Как осуществить атаку на SS7?
    Злоумышленник подключается к сигнальной сети SS7 и отправляет служебную команду Send Routing Info для SM (SRI4SM) в сетевой канал, указывая номер телефона атакуемого абонента в качестве параметра. Домашняя абонентская сеть отправляет в ответ следующую техническую информацию: IMSI (International Mobile Subscriber Identity) и адрес MSC, по которому в настоящее время предоставляет услуги подписчику.

    [​IMG]

    После этого злоумышленник изменяет адрес биллинговой системы в профиле подписчика на адрес своей собственной псевдобиллинговой системы (например, сообщает, что абонент прилетел на отдых и в роуминге зарегистрировался на новой биллинговой системе). Как известно, никакую проверку такая процедура не проходит. Далее атакующий вводит обновленный профиль в базу данных VLR через сообщение «Insert Subscriber Data» (ISD).

    [​IMG]

    Когда атакуемый абонент совершает исходящий звонок, его коммутатор обращается к системе злоумышленника вместо фактической биллинговой системы. Система злоумышленника отправляет коммутатору команду, позволяющую перенаправить вызов третьей стороне, контролируемой злоумышленником.

    [​IMG]

    В стороннем месте устанавливается конференц-связь с тремя подписчиками, две из них являются реальными (вызывающий абонент A и вызываемый B), а третий вводится злоумышленником незаконно и способен прослушивать и записывать разговор.

    [​IMG]

    Соответствующим образом получаем и SMS атакуемого. Имея доступ к псевдобиллинговой системе, на которую уже зарегистрировался наш абонент, можно получить любую информацию, которая приходит или уходит с его телефона.

    Как получить нелегальный доступ к SS7 сети?
    Как мы увидели, имея доступ к SS7 сети, произвести атаку не составляется труда. Как же получить нелегальный доступ к сети?

    Доступ продают в даркнете, а при желании можно найти и бесплатно. Такая доступность обусловлена тем, что в мало развитых государствах получить статус оператора очень просто, соответственно и получить доступ к SS7 хабам. Так же присутствуют недобросовестные работники у операторов.

    Что предпринимают провайдеры и интернет ресурсы с SMS верификацией?
    В данный момент операторы медленно закрывают многочисленные дыры в SS7, несмотря на то, что некоторые даже не признают их наличие. Кто-то обвиняет в разжигании паники вокруг этой проблемы, кто-то воздерживается от комментариев, кто-то говорит обтекаемые фразы, типа: «Безопасность наших клиентов стоит у нас в приоритете». Тем не менее, на сегодняшний день этому вопросу не уделяется должного внимания со стороны операторов, а доступность эксплуатации этой уязвимости, как никогда велика.

    Как защититься от перехвата СМС и прослушки звонков?
    [​IMG]

    Есть и хорошие новости. Представители интернет услуг, которые на самом деле заботят о своих клиентах, уже либо имеют, либо спешно готовят альтернативы SMS верификации. Например, vk.com, можно включить двухфакторную авторизацию с помощью Google Authenticator.

    Компания Apple готовит новый механизм двухфакторной авторизации для защиты Apple ID. Напомним, что завладев учетными данными Apple ID можно ни много ни мало заблокировать и полностью стереть все ваши Apple устройства удаленно. К сожалению, на данный момент пароль можно восстановить через SMS, которое в свою очередь, как вы узнали, можно перехватить.

    Хотелось бы выделить важный совет, который редко можно найти на просторах интернета. Он очень простой, но действенный.

    Учитывая, что псевдобиллинговые системы злоумышленников в большинстве случаев представляются иностранными операторами (сообщают, что вы в международном роуминге), то достаточно просто отключить на телефоне возможность международного роуминга. Это можно сделать у вашего оператора сотовой связи бесплатно. Если вам нет острой необходимости именно с этого телефона общаться в роуминге, то это решение сильно обезопасит вас от тех неприятностей, которые были описаны в этой статье.

    Заключение
    [​IMG]

    Как же складываются подобные ситуации? Протокол SS7 был создан много лет тому назад. Его безопасности просто не уделяли должного внимания на протяжении всего этого времени. В тоже время в данный момент лидеры многих развитых стран делают акцент на «кибер вооружение». Развитие кибершпионажа развивается огромными темпами. Крохи с этого стола «кибер инструментов» попадают в руки злоумышленников и тогда страдают обычные люди.

    Нужно не забывать об этом и поддерживать инструменты массового использования на актуальном уровне безопасности.

    Вы будете шокированы, но даже в таких критически важных местах, как авиация, до сих пор используется небезопасные способы общения между самолетами и наземными станциями. Любой хакер среднего уровня может фальсифицировать сигналы от диспетчера или борта самолета.

    Данный механизм мы опишем в последующих статьях.

    Следите за публикациями и будьте бдительны!

    Источник
     
    Izilda нравится это.
  2. Транклюкатор

    Транклюкатор Господин ПЖ

    Уязвимость в протоколе SS7 уже несколько лет используют для перехвата SMS и обхода двухфакторной аутентификации

    [​IMG]

    Схема атаки с перехватом SMS-сообщения. Иллюстрация: Positive Technologies

    О критических уязвимостях в сигнальном протоколе SS7 известно уже несколько лет. Например, в 2014 году российские специалисты Positive Technologies Дмитрий Курбатов и Сергей Пузанков на одной из конференций по информационной безопасности наглядно показали, как происходят такие атаки. Злоумышленник может прослушать звонки, установить местоположение абонента и подделать его, провести DoS-атаку, перевести деньги со счёта, перехватывать SMS. Более подробно эти атаки описаны в исследовании «Уязвимости сетей мобильной связи на основе SS7» и в отчёте «Статистика основных угроз безопасности в сетях SS7 мобильной связи».

    И вот сейчас появились первые свидетельства, что хакеры с 2014 года действительно используют эту технику для обхода двухфакторной авторизации и перевода денег со счетов клиентов банков. Своё расследование опубликовала немецкая газета Süddeutsche Zeitung.
    global title (GT) мобильного оператора — это тоже возможно в некоторых бедных коррупционных странах, где чиновники иногда позволяют себе нарушать закон в целях личного обогащения.

    Злоумышленники узнавали банковские реквизиты жертв с помощью фишинга или зловредов, а затем использовали уязвимость SS7, чтобы получить одноразовый код подтверждения транзакции (mTAN), который банк присылает по SMS.

    Расследование немецкой газеты не просто рассказывает о фактах кражи денег с банковских счетов, а указывает на фундаментальную уязвимость SMS как фактора аутентификации: «Я не удивлён, что хакеры забрали деньги, которые лежали у них под руками. Я только удивлён, что ворам в онлайн-банкинге понадобилось так много времени, чтобы присоединиться к агентам шпионажа и тоже использовать уязвимости сети SS7», — говорит Карстен Ноль (Karsten Nohl), ещё один известный специалист по безопасности мобильных сетей и SS7. На той же конференции 2014 года в России он читал доклад об атаках на мобильные сети, а также неоднократно выступал на эту тему на других конференциях. В том числе он рассказывал об уязвимостях SS7 на хакерской конференции Chaos Communication Congress в 2014 году и даже прослушал звонки по мобильному телефону конгрессмена Теда Лью (Ted W. Lieu) (с его согласия) в демонстрационных целях. Сейчас этот конгрессмен обратился к Конгрессу с призывом организовать слушания по поводу критических уязвимостей в глобальной сигнальной сети SS7.

    Очень важно, чтобы многочисленные онлайновые сервисы, банки и другие организации немедленно прекратили использовать SMS для аутентификации, потому что этот канал уже официально признан небезопасным (рекомендации NIST). Например, Google использует более надёжное мобильное приложение Google Authenticator, но по-прежнему присылает коды по SMS для входа в аккаунт, что полностью подрывает систему безопасности, учитывая активно эксплуатируемые уязвимости в SS7.
     
    Izilda нравится это.
  3. Транклюкатор

    Транклюкатор Господин ПЖ

    Современный мир уже невозможно представить без мобильной связи. Так, в жизнь каждого, кто пользуется интернет-услугами (ДБО, платежными системами, мобильными банками, интернет-магазинами, порталами государственных услуг), прочно вошли SMS с одноразовыми кодами для подтверждения различных операций. Безопасность этого способа аутентификации основана лишь на ограничении доступа злоумышленников к телекоммуникационным сетям.

    Нельзя забывать и про стремительно развивающийся интернет вещей, который распространяется повсеместно, проникая и в управление промышленными процессами, и в инфраструктуру городов. Сбои в работе мобильной сети могут полностью парализовать эти системы, приводя как к единичным случаям остановки устройств умного дома или автомобиля, вызывая недовольство клиентов оператора, так и к более опасным последствиям, например транспортным коллапсам или перебоям в электроснабжении.

    В данном отчете представлены результаты исследования защищенности сетей SS7. Стандарт Signaling System 7 используется для обмена служебной информацией между сетевыми устройствами в телекоммуникационных сетях. В то время, когда разрабатывался этот стандарт, доступ к сети SS7 имели лишь операторы фиксированной связи, поэтому безопасность не была приоритетной задачей. Сегодня сигнальная сеть уже не является в той же степени изолированной, поэтому злоумышленник, тем или иным путем получивший к ней доступ, имеет возможность эксплуатировать недостатки безопасности для того, чтобы прослушивать голосовые вызовы абонентов, читать SMS, похищать деньги со счетов, обходить системы тарификации или влиять на функционирование мобильной сети.

    Несмотря на появление сетей нового поколения 4G, использующих иную систему сигнализации — Diameter, проблемы безопасности SS7 будут оставаться актуальными еще долгое время, так как операторы связи все еще должны обеспечивать поддержку стандартов 2G/3G и взаимодействие между сетями разных поколений. Более того, исследования доказывают, что протокол Diameter подвержен тем же угрозам, что и SS7. Уязвимости этого протокола, а также описание возможных кросс-протокольных атак, во время которых эксплуатируются недостатки как Diameter, так и SS7, будут опубликованы в одном из следующих аналитических отчетов.

    Мы решили показать не только уязвимости, которые мы выявляем в ходе работ по анализу защищенности сетей SS7, но и факты реальной эксплуатации этих уязвимостей, чтобы продемонстрировать масштабы проблем безопасности современных сетей связи. Мы проследили, как менялась ситуация с защищенностью сетей SS7 в течение последних трех лет; узнали, какие средства защиты используются операторами связи и насколько существующие решения эффективны в реальных условиях.

    ТЕРМИНЫ И ОБОЗНАЧЕНИЯ
    HLR (Home Location Register) — база данных, которая содержит информацию об абоненте.

    MSC (Mobile Switching Center) — мобильный телефонный коммутатор.

    SS7 (Signaling System 7) — общеканальная система сигнализации, используемая в международных и местных телефонных сетях.

    STP (Signaling Transfer Point) — пограничный узел для маршрутизации сигнальных сообщений.

    VLR (Visitor Location Register) — база данных, которая содержит информацию о нахождении и перемещении абонента.

    РЕЗЮМЕ
    Защищенность сетей SS7 все еще на низком уровне. Все исследованные сети содержат опасные уязвимости, которые позволяют нарушить доступность сервисов для абонентов. Практически в каждой сети можно прослушать разговор абонента или прочитать входящие SMS, а мошеннические операции можно успешно проводить в 78% сетей.

    Злоумышленники осведомлены об уязвимостях и эксплуатируют их. Система обнаружения и предотвращения атак PT Telecom Attack Discovery фиксирует реальные атаки, которые злоумышленники проводят на сети операторов связи. Преимущественно они направлены на сбор информации об абонентах и конфигурации сети. Однако мы наблюдаем и такие атаки, которые, по всей вероятности, осуществляются с целью мошенничества, перехвата трафика абонента и нарушения доступности.

    Операторы осознают существующие риски. Принимаются меры, направленные на снижение вероятности реализации угроз. На сегодняшний день удалось сократить риск утечки информации о сети и абонентах. В 2017 году во всех исследованных сетях функционировала система SMS Home Routing, а в каждой третьей сети была установлена система фильтрации и блокировки сигнального трафика.

    Используемые решения недостаточно эффективны. Несмотря на активное внедрение дополнительных систем защиты, все сети оказались подвержены уязвимостям, связанным как с частными случаями некорректной настройки оборудования, так и с архитектурными проблемами сигнальных сетей SS7, которые невозможно устранить имеющимися средствами. Только комплексный подход к решению проблем безопасности, включающий регулярный анализ защищенности, поддержание параметров сети в актуальном состоянии, постоянный мониторинг сигнального трафика и своевременное выявление нелегитимной активности, может обеспечить высокий уровень защиты от преступников.

    Если у вас возникнут вопросы, пожалуйста, свяжитесь с нами: [email protected]

    УЯЗВИМОСТИ СЕТЕЙ SS7
    Методика исследования
    Каждый год эксперты Positive Technologies проводят десятки работ по анализу защищенности сигнальных сетей SS7. В ходе проверок моделируются действия потенциального нарушителя, который, как предполагается, осуществляет атаки из международной или национальной сети, внешней по отношению к оператору. Злоумышленник имеет возможность отправлять в тестируемую сеть запросы протоколов уровня приложений, которые могут привести к реализации различных угроз как в отношении самого оператора, так и его абонентов, если оператор не принимает достаточных мер защиты. Для эмуляции вредоносного узла используется специальное оборудование — PT Telecom Vulnerability Scanner.

    [​IMG]
    Рисунок 1. Схема работ по анализу защищенности сетей SS7
    Для исследования мы выбрали 24 наиболее информативных проекта по анализу защищенности сетей SS7 в 2016–2017 годах, в ходе которых проводился максимально полный перечень проверок. В рамках сравнительного анализа мы также использовали данные, представленные в нашем аналитическом отчете за 2015 год.

    Портрет участников
    В 2016–2017 годах в исследовании принимали участие операторы стран Европы (в том числе России) и Ближнего Востока.

    [​IMG]
    Рисунок 2. Распределение операторов связи по объему абонентской базы
    Половину участников составили операторы связи с объемом абонентской базы более 40 миллионов человек. Небольшие компании, число абонентов которых не превышало 10 миллионов, преимущественно являлись виртуальными мобильными операторами на базе более крупных телекоммуникационных компаний.

    Статистика по основным видам угроз
    Мы выделяем следующие угрозы, которые может реализовать злоумышленник, эксплуатируя недостатки защищенности сетей операторов мобильной связи:

    • раскрытие информации об абоненте;
    • раскрытие информации о сети оператора;
    • перехват абонентского трафика;
    • мошенничество;
    • отказ в обслуживании.
    Каждая из перечисленных угроз несет как репутационные, так и финансовые риски для оператора. Непосредственную опасность для абонента представляют угрозы мошенничества, перехвата трафика, отказа в обслуживании и раскрытия местоположения, которые могут привести к значительным денежным потерям, нарушению приватности и доступности абонентов сети.

    Под раскрытием информации об абоненте понимается утечка идентификаторов IMSI, раскрытие местоположения абонента, а также иной информации, например текущего баланса или деталей профиля. Раскрытие информации о сети оператора чревато утечкой данных о конфигурации сети SS7.

    В настоящий момент известны такие техники перехвата абонентского трафика в сетях SS7, которые позволяют прослушивать или перенаправлять на сторонние номера входящие и исходящие голосовые вызовы, а также перехватывать SMS пользователей.

    Атаки с целью мошенничества могут осуществляться как в отношении оператора, так и в отношении абонентов. Например, изменение платежной категории для вызовов в роуминге или обход системы тарификации могут принести ущерб оператору связи, а перевод средств со счета, перенаправление вызовов на платные номера или подписка на платные сервисы — пользователям сети.

    В данном исследовании мы рассматриваем отказ в обслуживании только в отношении отдельных абонентов, поскольку в рамках аудита защищенности лишь малое число операторов осуществляют тестирование сетевых элементов, которое может быть чревато сбоями в работе мобильной сети. Необходимо учесть, что нарушение функционирования может быть массовым в случае, если злоумышленники располагают базой абонентов оператора или обладают ресурсами, достаточными для подбора идентификаторов абонентов.

    Уровень осведомленности операторов о проблемах защищенности сетей SS7 постепенно растет, в связи с чем операторы начинают внедрять средства защиты от атак. Если в 2015 году каждая исследованная сеть была подвержена всем видам угроз, то за последние два года обозначились позитивные изменения в общем уровне защищенности сетей.

    Операторы связи начинают более серьезно относиться к проблемам безопасности сетей SS7 и внедряют средства защиты

    [​IMG]
    Таблица 1. Доли уязвимых сетей по типам угроз
    Заметно снизились риски утечки информации о сети оператора, мошенничества и перехвата абонентского трафика. Тем не менее каждая исследованная сеть, как и прежде, подвержена уязвимостям, которые позволяют получить информацию об абонентах или вызвать отказ в обслуживании.

    Рассмотрим доли успешных попыток атак, которые эксперты смогли реализовать в рамках работ по анализу защищенности.

    [​IMG]
    Рисунок 3. Доли успешных атак по типам угроз
    Как видно, в первую очередь операторы принимают меры, направленные на снижение риска раскрытия информации о сети и абонентах, поскольку эти сведения служат исходными данными для реализации множества других атак. По сравнению с 2015 годом доля успешных атак, направленных на раскрытие информации о сети оператора, снизилась почти втрое, и в два раза реже удавалось получить данные об абонентах сети. Способы защиты от такого рода атак достаточно просты, а на рынке ИБ существуют готовые решения, но при этом уязвимы для раскрытия информации об абонентах по-прежнему 100% сетей, что говорит о недостаточной эффективности существующих решений.

    Для остальных видов угроз процент успешно осуществленных атак изменился незначительно. Как мы покажем далее, причина состоит в том, что внедрение систем фильтрации и блокировки трафика не может компенсировать архитектурные проблемы SS7, для минимизации этих рисков необходим иной подход.

    Архитектурные проблемы сетей SS7 не решаются существующими средствами фильтрации трафика

    Можно выделить следующие причины, по которым возможна реализация тех или иных угроз:

    • отсутствие проверки реального местоположения абонента;
    • невозможность проверки принадлежности абонента сети;
    • недостатки конфигурации SMS Home Routing;
    • отсутствие фильтрации сообщений.
    Как показывают результаты, нарушитель может проводить большинство атак, эксплуатируя уязвимости, которые связаны с отсутствием проверки реального местоположения абонента и его принадлежности сети оператора.

    [​IMG]
    Рисунок 4. Уязвимости (доли успешных атак)
    В частности, возможны атаки, направленные на раскрытие местоположения абонента, перенаправление или перехват вызова, перехват SMS, изменение платежной категории или профиля абонента. Отсутствие проверки местоположения относится к сигнальным сообщениям, приходящим в домашнюю сеть абонента из сети, в зоне действия которой пребывает абонент в роуминге. Если сигнальное сообщение составлено корректно, нет возможности проверить его подлинность только по полученным параметрам. Нужна дополнительная проверка, на самом ли деле абонент находится в той сети, откуда пришел сигнальный трафик.

    [​IMG]
    Рисунок 5. Отсутствие проверки реального местоположения абонента
    Сложность проверки принадлежности абонента сети связана с сигнальными сообщениями, направляемыми оператором связи в адрес своих абонентов, находящихся в роуминге, к другой сети, в которой эти абоненты на данный момент зарегистрированы. Для определения нелегитимного трафика нужно проверять соответствие источника сообщения и идентификатора абонента. Если адрес источника и идентификатор абонента соответствуют одному оператору, то сообщение легитимное. Но если соответствие не найдено, это еще не означает фальсификацию сообщения, так как адрес источника может быть изменен, например, транзитным оператором. С полной уверенностью можно говорить о нелегитимности данного вида сигнального трафика, если он поступает из внешних сетей и направлен в адрес абонентов домашней сети.

    [​IMG]
    Рисунок 6. Отсутствие проверки принадлежности абонента сети
    SMS Home Routing — аппаратно-программный комплекс, предназначенный для сокрытия реальных идентификаторов абонентов и адресов сетевого оборудования, — используется в 85% исследованных сетей, однако некорректная настройка позволяет осуществлять атаки в обход механизма защиты. В сетях, где система SMS Home Routing отсутствовала, были успешны абсолютно все попытки получить идентификаторы абонентов и информацию о сети.

    Операторы активно внедряют системы фильтрации и блокировки сигнального трафика: в 2017 году они функционировали уже в трети исследованных сетей. Как результат, атаки, эксплуатирующие уязвимости, связанные с отсутствием фильтрации сообщений, на сегодняшний день успешны лишь в 10% случаев, что в три раза лучше показателей предыдущих лет.

    Для проведения атак используются стандартные сообщения, предназначенные для выполнения служебных операций. Эти сообщения должны проходить проверку на границе или внутри сети оператора, чтобы пресечь нелегитимные запросы. Одна и та же атака может быть осуществлена несколькими сообщениями (методами), при этом успешность различных методов неодинакова. Далее мы подробно разберем, с помощью каких методов и с какой долей вероятности злоумышленники могут реализовать все перечисленные угрозы.

    Утечка информации об абоненте
    Как уже упоминалось выше, первоочередной мерой по снижению вероятности проведения большинства атак является снижение риска раскрытия IMSI — уникальных идентификаторов абонентов. По сравнению с 2015 годом узнать IMSI по телефонному номеру абонента в прошедшем году удавалось приблизительно в 4 раза реже.

    Определить местоположение абонента сегодня удается в 75% сетей, при этом доля успешных атак с использованием различных методов составляет 33%, что также значительно лучше предшествующих показателей.

    [​IMG]
    Рисунок 7. Доли успешных атак по типам угроз, связанных с получением информации об абоненте
    Раскрытие информации об абоненте может быть реализовано четырьмя методами, успешность которых показана на рис. 8.

    [​IMG]
    Рисунок 8. Методы, использующиеся для получения IMSI абонента (доли успешных атак)
    Снижение доли успешных атак методами SendRoutingInfo и SendIMSI связано с внедрением средств фильтрации в сетях операторов. Сообщение SendRoutingInfo используется для получения маршрутной информации об абоненте при входящем голосовом вызове и должно передаваться только в пределах домашней сети оператора. Сообщение SendIMSI для запроса IMSI абонента по его телефонному номеру в настоящее время практически не используется операторами, однако обрабатывается в сетях мобильной связи для того, чтобы полностью обеспечить соответствие стандартам.

    Метод SendRoutingInfoForLCS был успешно проэксплуатирован лишь в двух исследованных сетях, что также связано с эффективной фильтрацией сообщений. Метод служит для запроса информации сервисами, для работы которых необходимы данные о местоположении пользователя.

    Сообщение SendRoutingInfoForSM отправляется для получения маршрутной информации, которая требуется для доставки входящего SMS. Чтобы не раскрывать реальные идентификаторы абонентов и адреса сетевых элементов, сообщение, поступившее из внешней сети, должно перенаправляться системе SMS Home Routing и возвращать виртуальные данные. Несмотря на то, что в большинстве сетей используется SMS Home Routing, мы зачастую сталкиваемся с некорректной конфигурацией граничного сетевого оборудования (STP/FW), в результате которой запрос отправляется к HLR в обход устройства SMS Router и возвращает настоящий IMSI абонента и данные о конфигурации сети оператора.

    Определить местоположение абонента в основном удавалось при помощи метода ProvideSubscriberInfo. Это связано с архитектурными недостатками сетей SS7. Сообщение ProvideSubscriberInfo должно обрабатываться только в том случае, если источник сообщения и идентификатор абонента соответствуют одному и тому же оператору. Проблема заключается в том, что в связи с архитектурными особенностями сетей SS7 невозможно определить принадлежность абонента сети оператора. Для защиты от таких атак необходимо использовать системы фильтрации трафика.

    В 2015 году мы предполагали, что операторы хорошо осведомлены об атаках методом AnyTimeInterrogation, который раскрывает местоположение пользователя по его телефонному номеру, и о соответствующих методах защиты, — поскольку ни одна из наших попыток не была успешна. Однако в последующие два года мы столкнулись с сетями, в которых отсутствовала фильтрация этого сообщения.

    [​IMG]
    Рисунок 9. Методы, использующиеся для определения местоположения абонента (доли успешных атак)
    Раскрытие баланса или деталей профиля пользователя не несет непосредственной серьезной опасности, поэтому защита от этих угроз, по всей видимости, находится в меньшем приоритете. Кроме того, обеспечить защиту от большинства используемых методов возможно только при постоянном мониторинге и фильтрации сигнального трафика. Реализовать соответствующие атаки можно в каждой исследованной сети, для этого используются следующие сообщения:

    • RestoreData;
    • InterrogateSS;
    • ProcessUnstructuredSS;
    • UpdateLocation;
    • AnyTimeSubscriptionInterrogation
    В 2017 году в ходе работ по анализу защищенности удавалось осуществить атаки всеми методами кроме AnyTimeSubscriptionInterrogation.

    Утечка информации об операторе
    В ходе проверок удалось осуществить более половины атак, связанных с проблемами настройки SMS Home Routing, которые позволяют получить данные о конфигурации сети. Тем не менее в целом операторы добились значительного снижения вероятности раскрытия такой информации.

    [​IMG]
    Рисунок 10. Методы, используемые для получения информации о конфигурации сети SS7 (доли успешных атак)
    Рост числа успешных атак методом SendRoutingInfoForSM в 2016 году вызван тем, что мы исследовали несколько сетей, в которых система SMS Home Routing отсутствовала.

    Перехват трафика абонента
    9 из 10 SMS могут быть перехвачены мошенниками

    Риск перехвата пользовательского трафика по-прежнему остается достаточно высоким. Подавляющее большинство попыток перехватить SMS абонентов оказались успешными. На сегодняшний день посредством SMS передается крайне важная информация — пароли для двухфакторной аутентификации, которые отправляют сервисы, предоставляющие услуги ДБО, интернет-платежей и пр. Утечка таких данных может сильно повлиять на репутацию оператора связи и послужить для клиентов, в том числе для компаний с большим объемом трафика, поводом к расторжению договора.

    [​IMG]
    Рисунок 11. Методы, используемые для перехвата и переадресации трафика абонента (доли успешных атак)
    Прослушать или перенаправить на сторонние номера входящие и исходящие вызовы абонентов удавалось более чем в половине случаев.

    Под перенаправлением понимается только передача вызова на сторонний номер. Развитие этой атаки позволяет установить соединение таким образом, чтобы злоумышленник смог прослушать разговор абонента.

    Сообщение UpdateLocation служит для оповещения HLR о смене абонентом обслуживающего коммутатора. Путем отправки поддельного запроса на регистрацию абонента в сети злоумышленника осуществляется перехват входящих SMS или вызовов. При поступлении входящего вызова сеть оператора отправляет запрос в фальшивую сеть для получения роумингового номера абонента. Злоумышленник может отправить в ответ номер собственной АТС и в этом случае входящий трафик поступит на его оборудование. Затем, после отправки повторного запроса на регистрацию абонента в настоящей сети, злоумышленник может перенаправить вызов на номер абонента. В результате разговор будет проходить через подконтрольное злоумышленнику оборудование. Такой же принцип лежит в основе перехвата входящих вызовов методом RegisterSS, но в этом случае устанавливается безусловная переадресация входящих вызовов на номер АТС злоумышленника.

    Высокий процент успешных атак связан с отсутствием проверки реального местоположения абонента. Чтобы снизить вероятность атак с использованием этих методов, необходимо обеспечить постоянный мониторинг сигнального трафика и анализ нелегитимной активности для выявления подозрительных узлов, построения списков запрещенных и доверенных сетей, немедленной блокировки запросов из запрещенных источников.

    Исходящие вызовы прослушиваются по схожей схеме: специально сформированное сообщение InsertSubscriberData заменяет в профиле абонента, хранящемся в базе данных VLR, адрес платформы для тарификации вызовов. При поступлении запроса по новому адресу злоумышленник сначала перенаправляет исходящий вызов на подконтрольное ему оборудование и лишь затем — на вызываемого абонента.

    Таким образом злоумышленник получает возможность прослушивать любой разговор абонента.

    78% сетей подвержены угрозе мошенничества

    Мошенничество
    Известен широкий спектр методов, которые могут быть использованы преступниками в целях получения финансовой выгоды за счет оператора или абонентов сети. Эти методы можно разделить на четыре категории:

    • нелегитимная переадресация входящих или исходящих вызовов;
    • эксплуатация USSD-запросов;
    • манипулирование SMS;
    • изменение профиля абонента.
    Нелегитимная переадресация входящих или исходящих вызовов
    Мошенник может узнать данные паспорта и кодовую фразу, выдав себя за сотрудника банка

    Злоумышленник может перенаправлять голосовые вызовы абонентов на платные номера или на сторонний номер с целью уклонения от тарификации. Соединение будет оплачиваться за счет абонента в случае установки безусловной переадресации на номер злоумышленника или за счет оператора связи — в случае регистрации абонента в ложной сети и подмены его роумингового номера.

    Перенаправление вызовов позволяет осуществлять и иные мошеннические схемы. Так, например, если абонент совершает исходящий звонок в банк, то перенаправив его на собственный номер и представившись сотрудником банка, преступник может узнать конфиденциальную информацию, необходимую для подтверждения личности, в частности данные паспорта и кодовое слово. Возможна и обратная ситуация: путем переадресации входящих вызовов злоумышленник может выдать себя за абонента, например для подтверждения банковских операций.

    [​IMG]
    Рисунок 12. Доли успешных атак, направленных на переадресацию голосовых вызовов абонента
    Перенаправление вызовов осуществляется с использованием уже упомянутых методов UpdateLocation, RegisterSS, InsertSubscriberData, а также метода AnyTimeModification, с помощью которого можно внести изменения в профиль абонента (заметим, что ни одна атака методом AnyTimeModification не привела к нужному результату).

    Эксплуатация USSD-запросов
    Злоумышленник может перевести деньги со счета абонента или партнеров оператора, эксплуатируя возможность отправки поддельных USSD-запросов методом ProcessUnstructuredSSRequest. Другой метод — UnstructedSSNotify — используется для отправки оповещений абонентам от имени различных сервисов, в том числе и от самого оператора. Злоумышленник может отправить поддельное уведомление от лица доверенного сервиса, содержащее инструкции, которые требуется выполнить абоненту: отправить SMS на платный номер для подключения услуги, позвонить по фальшивому номеру банка в связи с подозрительными операциями по карте или перейти по ссылке для обновления приложения.

    [​IMG]
    Рисунок 13. Угрозы, связанные с подделкой USSD-запросов (доли успешных атак)
    Манипулирование SMS
    Все сети позволяют отправлять поддельные SMS от имени абонентов или доверенных сервисов

    Фишинговую или рекламную рассылку сообщений можно организовать, отправляя поддельные SMS от имени произвольных абонентов или сервисов с помощью методов MT-ForwardSM и MO-ForwardSM. Метод MT-ForwardSM предназначен для доставки входящих сообщений и может применяться злоумышленниками для формирования подложных входящих SMS. Несанкционированное использование метода MO-ForwardSM позволяет отправлять исходящие сообщения от имени и за счет абонентов сети. В 2017 году все сети, где проводились соответствующие проверки в ходе анализа защищенности, оказались подвержены уязвимостям, связанным с недостаточным анализом сигнального трафика, которые позволяют отправить подложные сообщения.

    Изменение профиля абонента
    Информация о платформе тарификации и подписках на услуги хранится в профиле абонента. Для обхода системы тарификации в реальном времени необходимо удалить O-CSI-подписку абонента, которая используется для совершения абонентом исходящих вызовов, или подменить адрес платформы тарификации на фиктивный. В целях предотвращения нетарифицируемых вызовов в параметрах O-CSI указывается, что при недоступности платформы необходимо завершить вызов. Тем не менее этот параметр можно подменить таким образом, чтобы вызов продолжался без обращения к платформе. В результате легитимная платформа не будет получать информацию о вызовах и, соответственно, не будет производить тарификацию.

    [​IMG]
    Рисунок 14. Доли успешных атак, направленных на внесение изменений в профиль абонента
    Атаки методами InsertSubscriberData и DeleteSubscriberData были успешно осуществлены более чем в 80% случаев, а попытки атак методом AnyTimeModification не приводили к результату.

    Отказ в обслуживании
    Отказ в обслуживании абонентов возможен в 100% сетей

    На сегодняшний день атаки, нацеленные отказ в обслуживании отдельных абонентов, возможны в каждой исследованной сети. Выявленные недостатки связаны с архитектурными проблемами протоколов (невозможность проверки принадлежности абонента сети и отсутствие проверки реального местоположения абонента) и позволяют успешно проводить атаки следующими методами:

    • UpdateLocation;
    • RegisterSS;
    • InsertSubscriberData;
    • PurgeMS.
    Все попытки атак приводили к отказу в обслуживании абонентов, за исключением метода InsertSubscriberData (83% успешных атак). С этой же целью может быть использован и метод AnyTimeModification, однако параметры безопасности всех исследованных сетей препятствовали прохождению этих запросов.

    Помимо возможности совершать голосовые вызовы и обмениваться SMS, абонент может лишиться доступа в интернет при проведении атаки методом InsertSubscriberData.

    Несмотря на то, что рассматриваемые нарушения функционирования сети целенаправленны и затрагивают в каждом случае только одного абонента, не исключен и массовый сбой в обслуживании, если злоумышленник располагает базой идентификаторов абонентов либо может подобрать идентификаторы перебором.

    Такие сбои в обслуживании могут быть критическими для устройств, относящихся к интернету вещей. Это стремительно развивающийся рынок, насчитывающий миллиарды устройств, для работы которых требуется доступ к телекоммуникационным сетям. Периодический выход из строя систем умного дома, систем видеонаблюдения, устройств, отслеживающих местоположение автомобиля, или остановка промышленных процессов предприятия может привести к значительному оттоку клиентов.

    3 часа — среднее время недоступности абонента

    При проведении исследований мы установили, что среднее время недоступности абонента после такой атаки составляет более трех часов, а в некоторых случаях при выполнении запроса на нарушение доступности изменяется текущий профиль абонента в базе данных, и оборудование не способно произвести восстановление профиля, даже когда абонент перезагружает устройство. Это случалось при атаках на нарушение доступности методами PurgeMS и InsertSubscriberData.

    При удалении из HLR адреса VLR, в котором в текущий момент зарегистрирован абонент, посредством процедуры PurgeMS, инициированной неким третьим узлом, происходит следующее. Входящие вызовы не могут маршрутизироваться на обслуживающий абонента VLR/MSC, поскольку в HLR адрес регистрации отсутствует. При этом исходящие вызовы абоненту доступны, поскольку регистрационная запись в VLR не изменялась.

    Восстановление регистрации в HLR обычным способом — перезагрузкой телефона (или иного устройства) — не работает, так как VLR не инициирует процедуру UpdateLocation в отношении HLR, полагая, что в регистрационных данных абонента нет изменений.

    В результате восстановить регистрацию, а соответственно, и доступность абонента для входящих вызовов, можно только при регистрации в зоне действия другого обслуживающего MSC, например если сначала вручную выбрать сеть другого оператора, а затем снова выбрать домашнюю сеть. Другой вариант — переместиться в зону действия другого MSC домашней сети.

    Сбои в работе умных устройств могут привести к оттоку клиентов

    Меры защиты и их эффективность
    Выявленные уязвимости связаны как с некорректной настройкой сетевого оборудования или средств защиты, так и с фундаментальными недостатками сетей SS7. Если в первом случае для устранения уязвимостей достаточно внести изменения в конфигурацию устройств, то архитектурные проблемы сетей могут быть решены только путем корректной фильтрации и мониторинга сигнального трафика. Чтобы обеспечить анализ и блокировку поступающих сообщений без нарушения функционирования сети требуется специальное дополнительное оборудование. Рассмотрим, какие средства защиты применялись в исследуемых сетях и в какой степени они способствуют снижению рисков реализации угроз.

    Почти во всех сетях был установлен комплекс SMS Home Routing. С 2016 года операторы начали внедрять системы фильтрации и блокировки сигнального трафика, а в 2017 году такие системы функционировали уже в каждой третьей исследованной сети.

    [​IMG]
    Таблица 2. Установленные средства защиты (доля сетей)
    Система SMS Home Routing направлена на противодействие раскрытию IMSI абонента и конфигурации сети методом SendRoutingInfoForSM, и действительно, процент успешных атак в случае ее установки снижается на треть. Однако в связи с неправильной настройкой оборудования в 67% случаев можно получить реальные данные.

    [​IMG]
    Рисунок 15. Получение IMSI методом SendRoutingInfoForSM в зависимости от наличия системы SMS Home Routing (доли успешных атак)
    Следует помнить, что система SMS Home Routing не может использоваться для защиты от остальных видов атак. Более того, эта система не предназначена для защиты сети, а устанавливается для правильной маршрутизации входящих SMS. Как показывают результаты исследований, сети, где используется SMS Home Routing, не являются более защищенными по сравнению с остальными, возможно по той причине, что операторы зачастую полагаются исключительно на SMS Home Routing, пренебрегая дополнительными средствами защиты.

    Сравним результаты попыток проведения атак различными методами, для противодействия которым на сегодняшний день рекомендуется использовать системы фильтрации и блокировки сигнального трафика.

    [​IMG]
    Рисунок 16. Доли успешных атак в зависимости от наличия системы фильтрации и блокировки сигнального трафика
    Использование системы фильтрации не способно обеспечить абсолютную безопасность сети

    Как мы видим, корректная фильтрация сигнального трафика позволяет снизить риски прохождения несанкционированных запросов. Это отчасти подтверждает и следующая диаграмма, на которой сравнивается возможность реализации каждой угрозы. Стоит выделить тот факт, что в сетях, где была внедрена система фильтрации и блокировки трафика, не удалась ни одна попытка отследить местоположение абонента. В остальных сетях попытки определить местоположение были успешны в 40% случаев.

    [​IMG]
    Рисунок 17. Доли успешных атак в зависимости от наличия системы фильтрации и блокировки сигнального трафика
    В то же время очевидно, что даже использование системы фильтрации не способно обеспечить абсолютную безопасность сети. Разберемся, почему так происходит.

    Все описываемые в данном отчете сообщения подразделяются на три категории, определенные в GSMA IR.82:

    1. сообщения, передаваемые исключительно между устройствами домашней сети оператора;
    2. сообщения, которые передаются из домашней сети оператора в гостевую сеть абонента;
    3. которые передаются из гостевой сети в домашнюю сеть оператора.
    Проще всего обеспечить защиту от атак с использованием сообщений первой и второй категорий. Для этого требуется правильно настроить сетевое оборудование и фильтрацию сигнального трафика для корректного анализа поступающих сообщений. Риски прохождения атак, эксплуатирующих сообщения первой категории, к 2017 году уже были сведены к минимуму.

    [​IMG]
    Рисунок 18. Доли успешных атак по категориям сообщений
    Системы фильтрации трафика позволяют полностью защититься от атак, в которых задействованы сообщения первой категории, а в случае использования сообщений второй категории доля успешных атак снижается в два раза.

    [​IMG]
    [​IMG]
    Рисунок 19. Доли успешных атак по категориям сообщений в зависимости от наличия системы фильтрации и блокировки сигнального трафика
    Иначе обстоит ситуация с третьей категорией. Необоснованная блокировка таких сообщений может повлиять на обслуживание абонента, действительно находящегося в роуминге. Например, ошибочная блокировка легитимной регистрации абонента во внешней сети может привести к тому, что абонент останется без связи в роуминге, а для оператора это означает явное недополучение прибыли и возможную потерю клиента. Выявление нелегитимных запросов представляет собой сложную техническую задачу. Рекомендуется фильтровать сообщения на основе списков доверенных и запрещенных источников, представляемых роуминг-партнерами, однако объемы таких списков и потребность в их постоянном обновлении значительно усложняют реализацию решения на практике. Из опасений нарушить функционирование сети операторы очень осторожно подходят к вопросу блокировки подобных сообщений. Однако сообщения этой категории позволяют злоумышленнику реализовать все виды угроз, от раскрытия информации о сети и абоненте до перехвата пользовательского трафика, мошенничества и нарушения доступности абонентов.

    [​IMG]
    Рисунок 20. Рекомендуемый подход к обеспечению безопасности сигнальной сети
    Для достижения высокого уровня защиты от всех видов рассматриваемых угроз необходим комплексный подход к информационной безопасности. В первую очередь важно проводить регулярный анализ защищенности сигнальной сети, так как это позволяет выявлять актуальные уязвимости, которые могут возникнуть при изменении конфигурации сети и параметров сетевого оборудования, и оценивать риски, связанные с информационной безопасностью.

    Помимо этого, требуется обеспечить постоянный мониторинг и анализ сообщений, пересекающих границы сети, в целях поддержания параметров безопасности в актуальном состоянии, своевременного выявления потенциальных угроз и реагирования на них. Указания использовать системы мониторинга для противодействия атакам содержатся и в рекомендациях GSMA1. Эта задача должна выполняться с использованием специальных систем обнаружения угроз, которые могут проводить интеллектуальный анализ сообщений в режиме реального времени. Такое решение позволяет выявлять нелегитимную активность внешних узлов на ранних стадиях и передавать информацию о них системе фильтрации сигнального трафика для повышения ее эффективности, например для обновления списков запрещенных узлов, а также позволяет обнаруживать ошибки конфигурации сетевых устройств и оповещать сотрудников оператора о необходимости их исправить.

    Безопасность — это процесс, поэтому нельзя ограничиваться разовыми мерами (аудитами или внедрением средств защиты). Комплексный подход применяют специалисты Positive Technologies для защиты сигнальных сетей своих клиентов, узнать подробнее можно на сайте, задав вопрос через форму обратной связи или написав нам на [email protected].

    В следующем разделе мы выясним, позволяют ли существующие средства защиты противостоять злоумышленникам в реальных условиях и как использование системы обнаружения и предотвращения угроз может обеспечить защиту сети.

    АТАКИ НА СЕТИ SS7
    Мы рассмотрели уязвимости, которым подвержены сети SS7, и возможные угрозы, связанные с их эксплуатацией. Остается открытым вопрос: как результаты исследований защищенности соотносятся с реальной жизнью, квалификацией и возможностями настоящих преступников? В этом разделе мы приведем результаты проектов по мониторингу безопасности в сетях SS7 и посмотрим, с какими атаками действительно сталкиваются операторы мобильной связи и эффективны ли на практике существующие меры защиты.

    Методика
    Проекты по мониторингу безопасности в сетях SS7 проводились для крупных операторов связи Европы и стран Ближнего Востока. Целью этих работ была демонстрация возможностей системы PT Telecom Attack Discovery (PT TAD), которая предназначена для анализа сигнального трафика в режиме реального времени и выявления нелегитимной активности с возможностью блокировки несанкционированных сообщений или оповещения сторонних средств фильтрации и блокировки трафика. Такой подход позволяет своевременно выявлять потенциальные угрозы и реагировать на них, не оказывая негативного воздействия на функционирование сети.

    PT TAD возможно использовать и в качестве пассивной системы обнаружения нелегитимной активности, в этом случае система позволяет анализировать проходящий трафик, но не влияет на него. В нашем исследовании представлены результаты мониторинга трафика в пассивном режиме.

    [​IMG]
    Рисунок 21. Схема подключения оборудования для анализа сигнального трафика системой PT TAD в пассивном режиме
    Статистика по выявленным атакам
    Во всех сетях, где проводились работы по мониторингу событий безопасности, использовалось оборудование SMS Home Routing, а та или иная система фильтрации и блокировки сигнального трафика была установлена в каждой третьей сети.

    В ходе мониторинга мы получили результаты, свидетельствующие о том, что злоумышленники не только хорошо осведомлены о проблемах безопасности сигнальных сетей, но и активно эксплуатируют эти уязвимости.

    В таблице для каждой угрозы по вертикали отражено распределение всех попыток атак по используемым методам. Доли успешных атак приведены по каждой угрозе и отдельно по каждому методу. Пустая клетка означает, что сообщение не ведет к реализации данной угрозы.

    Например, попытка получить IMSI абонента в 79,9% случаев осуществляется нарушителями с помощью метода SendRoutingInfo. В целом нарушителю удается в 34,5% случаев успешно получить IMSI тем или иным методом. А сам метод SendRoutingInfo успешен в 22,6% попыток атак.

    [​IMG]
    Таблица 3. Распределение выявленных атак по типам угроз
    Как мы выяснили, источником большинства атак являются не национальные операторы той страны, в которой проводился мониторинг безопасности, а международные операторы связи. Подозрительные запросы поступают преимущественно из стран Азии и Африки; вероятно, это связано с тем, что в этих странах злоумышленнику проще купить доступ к сети SS7. При этом физический доступ к оборудованию оператора, предоставившего возможность подключения к сети SS7, не требуется, злоумышленник может находиться в любой точке земного шара.

    Для демонстрации среднего количества атак в сутки мы выбрали крупного оператора с абонентской базой более 40 миллионов человек, который дал согласие на публикацию данных без указания наименования компании.

    [​IMG]
    Таблица 4. Среднее число атак в сутки по типам угроз
    Утечка информации
    Практически все зафиксированные атаки были направлены на раскрытие информации об абоненте и о сети оператора. Атаки с целью мошенничества, перехвата абонентского трафика и нарушения доступности абонентов в совокупности составили менее двух процентов2.

    [​IMG]
    Рисунок 22. Распределение выявленных атак по видам угроз
    Такое распределение связано с тем, что злоумышленнику в первую очередь требуется узнать идентификаторы абонентов и адреса узлов сети оператора. Только в случае получения необходимой информации на первом этапе можно проводить дальнейшие атаки. При этом сбор информации необязательно свидетельствует о готовящейся целенаправленной атаке на абонента. Вместо того, чтобы проводить сложные в техническом плане атаки, существует способ получить прибыль более простым путем, продавая сведения другим преступным группировкам. Массовые однотипные запросы могут указывать на то, что злоумышленники составляют базы абонентов, в которых сопоставлены телефонные номера и идентификаторы пользователей, а также собирают данные об операторе для последующей продажи полученных сведений на черном рынке.

    Каждая третья атака, целью которой было получение IMSI пользователя, и каждая пятая направленная на раскрытие конфигурации сети — возвращали злоумышленнику искомую информацию.

    Для получения информации использовались главным образом два метода — AnyTimeInterrogation и SendRoutingInfo. Помимо того, что оба метода раскрывают информацию о сети, а метод SendRoutingInfo возвращает IMSI абонентов, эти сообщения позволяют узнать и местоположение абонента. Как показывают результаты, в 17,5% случаев ответы сети на подобные запросы содержали данные о расположении абонента.

    В 87% случаев подозрительные запросы миновали SMS Home Routing

    Параметры фильтрации на сетевом оборудовании (STP, HLR) или корректно настроенная система фильтрации сигнального трафика позволили бы полностью исключить возможность атак с использованием этих сообщений, а значит, и снизить риск остальных угроз. Тем не менее на практике параметры фильтрации сообщений не всегда установлены корректно. Так, процент ответов на подозрительные запросы с целью определения местоположения пользователя в сетях, защищенных системой блокировки сигнального трафика, оказался в два раза ниже, чем в остальных сетях. Приблизительно те же результаты были получены для атак, направленных на раскрытие конфигурации сети и идентификаторов абонентов. В целом это хорошие показатели, указывающие на эффективность принимаемых мер защиты, однако при правильной конфигурации доля успешных атак была бы сведена к нулю.

    Интересно заметить, что во всех сетях была установлена система SMS Home Routing, используемая для противодействия атакам методом SendRoutingInfoForSM. Сообщение SendRoutingInfoForSM запрашивает информацию, необходимую для доставки входящего SMS, — идентификатор абонента и адрес обслуживающего узла. При нормальном режиме функционирования за этим сообщением должно поступить входящее SMS, в противном случае запросы считаются нелегитимными. Каждый запрос должен направляться системе SMS Home Routing, которая возвращает в ответе виртуальные идентификаторы и адреса, однако из-за предположительно некорректной настройки сетевого оборудования этот способ защиты оказался недостаточно эффективен — в 87% случаев подозрительные запросы миновали SMS Home Routing. Схожие результаты мы отмечали и в ходе работ по анализу защищенности сетей SS7.

    Мошенничество
    23% атак с целью мошенничества успешно осуществляются злоумышленниками

    Атаки с целью мошенничества как в отношении оператора, так и в отношении абонентов составили всего 1,32%, причем существенная их часть пришлась на эксплуатацию USSD-запросов. Несанкционированная отправка USSDзапросов позволяет осуществить перевод денег со счета абонента, подписать абонента на дорогостоящую услугу или отправить фишинговое сообщение от имени доверенного сервиса.

    Около четверти всех попыток оказались успешны: сообщения были приняты сетью оператора как легитимные независимо от наличия средств фильтрации трафика.

    [​IMG]
    Рисунок 23. Атаки, осуществляемые с целью мошенничества
    Перехват трафика
    100% атак, направленных на перехват SMS, являются успешными

    За время проведения работ были зафиксированы запросы UpdateLocation на регистрацию абонента в новой сети, исходящие из подозрительных источников. При этом ни одна попытка поддельной регистрации не была отклонена сетью оператора. Как показывают результаты работ по анализу защищенности и данные проектов по мониторингу безопасности, использование системы фильтрации и блокировки трафика не дает в этом случае существенных преимуществ — для защиты от такого рода атак необходимо принимать комплексные меры безопасности.

    Нелегитимные запросы UpdateLocation составили всего 0,01% от общего числа атак, однако этот метод представляет особую опасность, поскольку позволяет перехватывать SMS абонента, содержащие конфиденциальную информацию, и перенаправлять вызовы на номера злоумышленников, что может быть использовано преступниками в мошеннических целях.

    В 2017 году ярким примером атаки с использованием уязвимостей сетей SS7 послужил перехват SMSабонентов немецкого сотового оператора, в результате которого преступникам удалось похитить деньги с банковских счетов пользователей. Атака проводилась в два этапа. На первом этапе преступники отправляли пользователям письма, содержащие ссылку на фишинговый сайт, маскирующийся под официальный сайт банка, и похищали логины и пароли от банковских учетных записей. Для прохождения двухфакторной аутентификации и подтверждения дальнейших операций им требовался доступ к одноразовым кодам, которые банк отправляет пользователю в SMS. Предполагается, что преступники заранее приобрели на черном рынке доступ к сети SS7. На втором этапе атаки они регистрировали абонентов в фальшивой сети, выдавая себя за роумингового партнера — иностранного мобильного оператора. После этого входящие SMS, содержащие одноразовые коды и уведомления о совершенных операциях, отправлялись на номер злоумышленников. Как считают эксперты, преступники проводили атаки главным образом в ночное время, чтобы снизить вероятность обнаружения своих действий.

    Отказ в обслуживании
    Отказ в обслуживании опасен для интернета вещей

    Атаки, направленные на отказ в обслуживании отдельных абонентов, также были немногочисленны, при этом лишь 7,8% подобных атак были успешны. Преимущественно использовался метод InsertSubscriberData, но 99% этих сообщений остались без ответа, то есть были проигнорированы сетью оператора. Наличие систем фильтрации и блокировки трафика оказало значительное влияние на итоговые результаты: процент успешно отработанных запросов в этих сетях был в четыре раза ниже, чем в остальных, однако полностью от таких атак защититься не удалось.

    Отказ в обслуживании представляет серьезную опасность для электронных устройств интернета вещей. К сетям связи сегодня подключены не только отдельные устройства пользователей, но и элементы инфраструктуры умных городов, современные промышленные предприятия, транспортные, энергетические и иные компании.

    Как мы уже отмечали, злоумышленник может провести атаку на нарушение доступности абонента таким образом, что восстановление связи будет невозможно без обращения за технической поддержкой, а среднее время недоступности пользователя превышает три часа. Утрата репутации надежного поставщика связи может лишить оператора существенной доли клиентов, которые предпочтут пользоваться услугами других компаний.

    Пример атаки
    Как отмечалось выше, внедрения отдельных мер защиты без обеспечения комплексного подхода к безопасности недостаточно для противодействия всем атакам, эксплуатирующим уязвимости, причины которых кроются в самой архитектуре сетей SS7.

    Рассмотрим реальный пример, выявленный во время проведения работ. Атака представляла собой ряд последовательных шагов, которые были объединены в логическую цепочку системой обнаружения атак, в то время как существующие системы защиты не смогли распознать отдельные запросы как нелегитимные. В первую очередь злоумышленники предприняли успешную попытку узнать IMSI абонента по телефонному номеру. Получив необходимые для дальнейших действий сведения, они попытались установить местоположение абонента, однако этот этап атаки завершился неудачей. Через день злоумышленники отправили запрос на регистрацию абонента в поддельной сети, который был выполнен сетью оператора, и получили возможность перехватывать входящие вызовы и SMS абонента, что, вероятно, и было их целью. Рассмотрим каждый шаг более детально.

    Система обнаружения и предотвращения атак PT TAD зафиксировала сообщения SendRoutingInfoForSM в отношении абонента домашней сети оператора, которые были отправлены c внешнего узла. Сообщения были отмечены как подозрительные, поскольку за ними не следовала отправка SMS, как предполагается в случае легитимной активности. За каждым таким сообщением следовала попытка атаки ProvideSubscriberInfo, которая была заблокирована сетью. Система PT TAD выявила последовательную комбинацию атак SendRoutingInfoForSM и ProvideSubscriberInfo с интервалом в 1–2 секунды, что свидетельствует о том, что действия по определению местоположения абонентов автоматизированы.

    [​IMG]
    Рисунок 24. Обработка подозрительного запроса SendRoutingInfoForSM
    Так как в сети оператора использовалась система SMS Home Routing, ответ на сообщение SendRoutingInfoForSM не должен был содержать реальный IMSI, равно как и адрес реального MSC/VLR. Однако определенным образом сформированный пакет позволял обойти не вполне корректно настроенный механизм работы SMS Home Routing. Пограничный STP должен направлять сообщения SendRoutingInfoForSM, полученные извне, на устройство SMS Router. Однако если в конфигурации STP маршрутизация по типу адресации имеет более высокий приоритет, чем проверка кода операции, то злоумышленник может отправить сообщение SendRoutingInfoForSM, адресуя его в плане нумерации (E.214), присущем операции регистрации абонента в роуминговой сети (UpdateLocation), и STP осуществит маршрутизацию сигнального сообщения без проверки кода операции. В результате атаки злоумышленник получал не адрес платформы и виртуальный IMSI, а действительный адрес MSC/VLR абонента и его реальный IMSI. Именно эти данные использовались для последующей попытки атаки ProvideSubscriberInfo с целью определения местоположения абонента.

    [​IMG]
    Рисунок 25. Попытка определить местоположение пользователя
    [​IMG]
    Рисунок 26. Регистрация абонента в поддельной сети
    После обнаружения попыток атак с одного узла, который выступает в роли различного оборудования (MSC и HLR в данном случае), узел был помечен как подозрительный. На следующий день с данного узла поступил запрос UpdateLocation на обновление регистрации того же абонента. Запрос не нарушал матрицы перемещений абонента, поскольку предыдущее сообщение UpdateLocation было получено шестью часами ранее, и был пропущен системой фильтрации сигнального трафика как легитимный.

    Если бы в сети применялся комплексный подход к безопасности, а именно мониторинг безопасности с интегрированной системой блокирования, то после успешной атаки SendRoutingInfoForSM и неуспешной ProvideSubscriberInfo система мониторинга немедленно оповестила бы модуль фильтрации о том, что необходимо обновить список запрещенных узлов для блокировки любого трафика, приходящего от данного узла.

    ЗАКЛЮЧЕНИЕ
    Как показали результаты исследования, безопасность сетей мобильной связи все еще находится на низком уровне. Подавляющее большинство сетей подвержены уязвимостям, позволяющим перехватывать голосовые вызовы и сообщения абонентов, проводить мошеннические операции и нарушать доступность сервисов для абонентов.

    О существующих уязвимостях прекрасно осведомлены злоумышленники, и мы уже увидели, к каким последствиям могут привести их атаки, на примере недавнего инцидента, затронувшего абонентов немецкого оператора связи: были похищены деньги с банковских счетов пользователей. Судя по уровню нелегитимной активности, которую выявляет система обнаружения и предотвращения атак PT TAD, мы можем ждать новых подобных инцидентов в ближайшее время.

    Мы отметили, что операторы осознают недостатки безопасности сигнальных сетей и начинают внедрять дополнительные средства защиты для закрытия уязвимостей, в том числе системы фильтрации и блокировки сигнального трафика. Однако эти системы не могут полностью решить проблемы, связанные с особенностями архитектуры сетей SS7.

    Для противодействия преступникам требуется комплексный подход к безопасности. Необходимо регулярно проводить анализ защищенности сигнальной сети с целью выявления существующих уязвимостей и разработки мер по снижению рисков реализации угроз, а после — поддерживать параметры безопасности в актуальном состоянии. Помимо этого, важно осуществлять постоянный мониторинг и анализ сообщений, пересекающих границы сети, для выявления потенциальных атак. Эту задачу может выполнять система обнаружения и предотвращения атак, которая позволяет на ранних стадиях выявлять нелегитимную активность и блокировать подозрительные запросы либо передавать информацию о несанкционированных подключениях сторонним системам, тем самым повышая эффективность существующих средств защиты. Такой подход позволяет обеспечить высокий уровень защиты, не нарушая нормальное функционирование мобильной сети.

    1. SG.11. SS7 Interconnect Security Monitoring Guidelines.
    2. Процедура UpdateLocation возвращает информацию о профиле абонента. Тем не менее мы полагаем, что регистрация абонента в поддельной сети преследует в первую очередь иные цели: перенаправление входящего вызова, перехват SMS или отказ в обслуживании абонента.
    Источник