Добро пожаловать обратно, мои новобранцы-кибервоины!
В последние недели серия изощрённых кибератак вновь выявила критические уязвимости протокола Signaling System 7 (SS7), основополагающего компонента глобальной телекоммуникационной инфраструктуры, управляющего маршрутизацией вызовов, обменом SMS-сообщениями и взаимодействием сетей сотовой связи. Эти нарушения безопасности, обнаруженные у нескольких крупных американских операторов связи, включая AT&T, Verizon, Lumen Technologies и T-Mobile, выявляют присущие этому устаревшему протоколу уязвимости, продолжающему составлять основу современных телекоммуникационных систем. Взлом, совершённый китайскими хакерами, спонсируемыми государством, сделал ВЕСЬ трафик сотовой связи в США доступным для прослушивания, что побудило ФБР рекомендовать передачу всех сообщений с помощью зашифрованных приложений.
Протокол SS7, первоначально разработанный в 1975 году, работает в рамках инфраструктуры ядра сети и был разработан с использованием модели неявного доверия, предшествовавшей современным требованиям кибербезопасности. Это архитектурное ограничение делает SS7 особенно уязвимым для злоумышленников, поскольку в протоколе отсутствуют надёжные механизмы аутентификации и стандарты шифрования, характерные для современных сетевых протоколов. Недавние нарушения демонстрируют, как злоумышленники могут использовать эти уязвимости на уровне протокола для потенциального перехвата сообщений, отслеживания данных о местоположении и даже манипулирования сетевыми операциями.
В этой статье давайте рассмотрим протокол SS7 и проанализируем связанные с ним риски.
MTP уровня 1 отвечает за функции физического уровня, в то время как MTP уровня 2 управляет надёжностью соединения посредством обнаружения и исправления ошибок. MTP уровня 3 отвечает за маршрутизацию и управление сетью. Уровень SCCP предоставляет дополнительные возможности адресации благодаря трансляции глобальных заголовков (GTT), что позволяет маршрутизировать данные на основе телефонных номеров, а не кодов точек. TCAP управляет диалогом между приложениями, в то время как MAP отвечает за специфичные для мобильных устройств операции, такие как обновление местоположения и маршрутизация SMS.
Фундаментальная уязвимость системы безопасности коренится в философии проектирования SS7 в эпоху монополий в телекоммуникациях. Протокол предполагает надёжность сети, основываясь на трёх ошибочных предпосылках:
(1) физическая безопасность сигнальных линий,
(2) доверенные сетевые операторы и
(3) закрытый сетевой доступ.
Эта модель доверия проявляется в нескольких критических архитектурных уязвимостях:
Управление доступом к сети: в SS7 отсутствуют надёжные механизмы аутентификации сетевых элементов. Любой субъект, имеющий доступ к сети, может генерировать допустимые сигнальные сообщения, поскольку протокол не проверяет подлинность источника сообщения. Это позволяет злоумышленникам выдавать себя за легитимные элементы сети, манипулируя адресами глобальных заголовков и кодами точек.
Проверка сообщений: протокол выполняет минимальную проверку содержания и последовательности сигнальных сообщений. Операции MAP не имеют криптографической подписи или верификации, что позволяет злоумышленникам генерировать произвольные команды, которые кажутся легитимными принимающим сетям. Эта уязвимость особенно затрагивает операции обновления местоположения и маршрутизации SMS.
Безопасность межсетевого взаимодействия: архитектура международной маршрутизации SS7 требует, чтобы сети обрабатывали сообщения из неизвестных источников. Модель доверия протокола предполагает, что все взаимосвязанные сети реализуют адекватные механизмы безопасности, что создаёт уязвимость самого слабого звена, где скомпрометированные сети ставят под угрозу всю экосистему.
Управление состоянием: SS7 реализует ограниченное отслеживание состояния для диалогов сигнализации. Злоумышленники могут вставлять сообщения в существующие диалоги или создавать новые без установления надлежащего контекста сеанса. Это позволяет проводить атаки типа «человек посередине» (man-in-the-middle) посредством манипуляции регистрами местоположения и маршрутной информацией.
Конфиденциальность данных: протокол передает конфиденциальные данные абонента, включая информацию о местоположении и токены аутентификации, без шифрования. Хотя изначально физические средства безопасности обеспечивали защиту этих данных, современная сетевая архитектура делает эти сообщения уязвимыми для потенциального перехвата.
Эти архитектурные уязвимости проявляются в практических атаках через определённые операции протокола. Например, операция SendRoutingInfoForSM , предназначенная для маршрутизации SMS-сообщений, может быть использована для извлечения данных о местоположении абонента. Операция UpdateLocation , предназначенная для хэндовера между сетями, позволяет осуществлять атаки с перенаправлением вызовов. Операция AnyTimeInterrogation , предназначенная для услуг с добавленной стоимостью, облегчает несанкционированное отслеживание местоположения.
Неспособность протокола проверять происхождение и подлинность сообщений создаёт фундаментальную проблему доверия, которую современные средства безопасности могут лишь частично смягчить. Дополнительные уровни проверки и фильтрации повышают безопасность, но не могут устранить основные архитектурные уязвимости, не нарушая обратную совместимость с устаревшими сетями.
для обхода аутентификации на основе SMS.
В разных странах. Атака оставалась незамеченной в течение нескольких месяцев благодаря легитимному виду используемых запросов SS7. Расследование выявило тщательное манипулирование адресацией GT для маскировки под авторизованные элементы сети.
С появлением программно-определяемой радиосвязи (SDR) разведка и использование этих уязвимостей стали еще дешевле и проще.
В последние недели серия изощрённых кибератак вновь выявила критические уязвимости протокола Signaling System 7 (SS7), основополагающего компонента глобальной телекоммуникационной инфраструктуры, управляющего маршрутизацией вызовов, обменом SMS-сообщениями и взаимодействием сетей сотовой связи. Эти нарушения безопасности, обнаруженные у нескольких крупных американских операторов связи, включая AT&T, Verizon, Lumen Technologies и T-Mobile, выявляют присущие этому устаревшему протоколу уязвимости, продолжающему составлять основу современных телекоммуникационных систем. Взлом, совершённый китайскими хакерами, спонсируемыми государством, сделал ВЕСЬ трафик сотовой связи в США доступным для прослушивания, что побудило ФБР рекомендовать передачу всех сообщений с помощью зашифрованных приложений.
Протокол SS7, первоначально разработанный в 1975 году, работает в рамках инфраструктуры ядра сети и был разработан с использованием модели неявного доверия, предшествовавшей современным требованиям кибербезопасности. Это архитектурное ограничение делает SS7 особенно уязвимым для злоумышленников, поскольку в протоколе отсутствуют надёжные механизмы аутентификации и стандарты шифрования, характерные для современных сетевых протоколов. Недавние нарушения демонстрируют, как злоумышленники могут использовать эти уязвимости на уровне протокола для потенциального перехвата сообщений, отслеживания данных о местоположении и даже манипулирования сетевыми операциями.
В этой статье давайте рассмотрим протокол SS7 и проанализируем связанные с ним риски.
Фонд архитектуры протоколов и уязвимостей
Стек протоколов SS7 реализует многоуровневую архитектуру, отражающую модель OSI, состоящую из уровня передачи сообщений (MTP) 1–3 и пользовательских уровней, включая TCAP (Transaction Capabilities Application Part), SCCP (Signaling Connection Control Part) и MAP (Mobile Application Part). Каждый уровень выполняет определённые функции маршрутизации сигналов и управления вызовами, создавая множество потенциальных поверхностей для атак.
MTP уровня 1 отвечает за функции физического уровня, в то время как MTP уровня 2 управляет надёжностью соединения посредством обнаружения и исправления ошибок. MTP уровня 3 отвечает за маршрутизацию и управление сетью. Уровень SCCP предоставляет дополнительные возможности адресации благодаря трансляции глобальных заголовков (GTT), что позволяет маршрутизировать данные на основе телефонных номеров, а не кодов точек. TCAP управляет диалогом между приложениями, в то время как MAP отвечает за специфичные для мобильных устройств операции, такие как обновление местоположения и маршрутизация SMS.
Фундаментальная уязвимость системы безопасности коренится в философии проектирования SS7 в эпоху монополий в телекоммуникациях. Протокол предполагает надёжность сети, основываясь на трёх ошибочных предпосылках:
(1) физическая безопасность сигнальных линий,
(2) доверенные сетевые операторы и
(3) закрытый сетевой доступ.
Эта модель доверия проявляется в нескольких критических архитектурных уязвимостях:
Управление доступом к сети: в SS7 отсутствуют надёжные механизмы аутентификации сетевых элементов. Любой субъект, имеющий доступ к сети, может генерировать допустимые сигнальные сообщения, поскольку протокол не проверяет подлинность источника сообщения. Это позволяет злоумышленникам выдавать себя за легитимные элементы сети, манипулируя адресами глобальных заголовков и кодами точек.
Проверка сообщений: протокол выполняет минимальную проверку содержания и последовательности сигнальных сообщений. Операции MAP не имеют криптографической подписи или верификации, что позволяет злоумышленникам генерировать произвольные команды, которые кажутся легитимными принимающим сетям. Эта уязвимость особенно затрагивает операции обновления местоположения и маршрутизации SMS.
Безопасность межсетевого взаимодействия: архитектура международной маршрутизации SS7 требует, чтобы сети обрабатывали сообщения из неизвестных источников. Модель доверия протокола предполагает, что все взаимосвязанные сети реализуют адекватные механизмы безопасности, что создаёт уязвимость самого слабого звена, где скомпрометированные сети ставят под угрозу всю экосистему.
Управление состоянием: SS7 реализует ограниченное отслеживание состояния для диалогов сигнализации. Злоумышленники могут вставлять сообщения в существующие диалоги или создавать новые без установления надлежащего контекста сеанса. Это позволяет проводить атаки типа «человек посередине» (man-in-the-middle) посредством манипуляции регистрами местоположения и маршрутной информацией.
Конфиденциальность данных: протокол передает конфиденциальные данные абонента, включая информацию о местоположении и токены аутентификации, без шифрования. Хотя изначально физические средства безопасности обеспечивали защиту этих данных, современная сетевая архитектура делает эти сообщения уязвимыми для потенциального перехвата.
Эти архитектурные уязвимости проявляются в практических атаках через определённые операции протокола. Например, операция SendRoutingInfoForSM , предназначенная для маршрутизации SMS-сообщений, может быть использована для извлечения данных о местоположении абонента. Операция UpdateLocation , предназначенная для хэндовера между сетями, позволяет осуществлять атаки с перенаправлением вызовов. Операция AnyTimeInterrogation , предназначенная для услуг с добавленной стоимостью, облегчает несанкционированное отслеживание местоположения.
Неспособность протокола проверять происхождение и подлинность сообщений создаёт фундаментальную проблему доверия, которую современные средства безопасности могут лишь частично смягчить. Дополнительные уровни проверки и фильтрации повышают безопасность, но не могут устранить основные архитектурные уязвимости, не нарушая обратную совместимость с устаревшими сетями.
Задокументированные случаи атак
1. Ограбление немецкого банка (2017)
В январе 2017 года киберпреступники воспользовались уязвимостями SS7 для перехвата кодов двухфакторной аутентификации, отправляемых клиентам немецких банков. Сначала злоумышленники получили учетные данные онлайн-банкинга жертв с помощью традиционных фишинговых методов. Затем они использовали доступ к SS7 для перенаправления SMS-сообщений, перехватывая одноразовые пароли, отправляемые банками. Это позволило им авторизовать мошеннические переводы, что привело к значительным финансовым потерям. Атака продемонстрировала практическое использование функции SendRoutingInfoForSM SS7для обхода аутентификации на основе SMS.
2. Нарушение связи с Конгрессом (2020)
Крупный американский оператор связи обнаружил несанкционированные пакеты SS7, направленные на мобильные устройства нескольких членов Конгресса. Анализ выявил систематические попытки отслеживания данных о местоположении и перехвата сообщений посредством манипуляции операциями MAP. Злоумышленники использовали сообщения UpdateLocation для попытки переадресации вызовов, хотя атака была обнаружена и заблокирована развёрнутыми межсетевыми экранами SS7.3. Проникновение в сферу телекоммуникаций в Европе (2019)
Злоумышленник, обладающий изощрённой системой безопасности, получил доступ к сетям SS7 нескольких европейских операторов связи. Он использовал операцию ProvideSubscriberInfo для отслеживания сотен важных целей по всей территории.В разных странах. Атака оставалась незамеченной в течение нескольких месяцев благодаря легитимному виду используемых запросов SS7. Расследование выявило тщательное манипулирование адресацией GT для маскировки под авторизованные элементы сети.
4. Операция по наблюдению на Ближнем Востоке (2021)
Эксперты по безопасности раскрыли масштабную операцию по слежке, направленную на телекоммуникационные сети Ближнего Востока. Злоумышленники использовали SS7 для отслеживания данных о местоположении конкретных абонентов в нескольких странах. Технический анализ выявил сложное использование операций SendRoutingInfoForSM и AnyTimeInterrogation в сочетании с тщательным расчетом времени для избежания обнаружения базовыми межсетевыми экранами SS7.5. Кража криптовалюты посредством перехвата SMS (2022)
Злоумышленники использовали уязвимости SS7 для кражи SMS-кодов подтверждения аккаунтов криптовалютных бирж. Сначала они взломали учетные записи электронной почты жертв, а затем, используя доступ к SS7, перехватили SMS-коды двухфакторной аутентификации (2FA). Цепочка атак включала тщательно рассчитанные по времени операции InsertSubscriberData для переадресации SMS-сообщений без уведомления жертв. Это привело к краже множества крупных сумм криптовалюты.6. Взлом австралийской телекоммуникационной компании (2023)
Крупный австралийский оператор связи обнаружил систематические попытки взлома сетей SS7, исходящие от скомпрометированных азиатских операторов связи. Атаки были направлены как на отслеживание местоположения, так и на перехват вызовов посредством манипуляции операциями MAP. Анализ выявил сложные методы обхода защиты, включая распределённые запросы SS7 и шаблоны маршрутизации GT, выглядящие как легитимные.7. Кампания в области телекоммуникаций в США (2024)
Масштабная хакерская кампания, спонсируемая китайским государством, была направлена против нескольких американских операторов связи, в результате чего были скомпрометированы девять компаний. Группировка Salt Typhoon организовала эти атаки в рамках более масштабной кампании, затронувшей десятки стран. Группировка, действующая как минимум с 2019 года, продемонстрировала изощренное использование уязвимостей SS7 для взлома телекоммуникационной инфраструктуры, в частности, государственных организаций.Краткое содержание
Эти реальные атаки демонстрируют практическое использование уязвимостей SS7 в различных сценариях и для различных целей. Они показывают, как теоретические уязвимости протокола приводят к реальным нарушениям безопасности.С появлением программно-определяемой радиосвязи (SDR) разведка и использование этих уязвимостей стали еще дешевле и проще.
