Исследователи выявили масштабную глобальную кампанию слежки, где злоумышленники используют сложные инструменты для отслеживания жертв через комбинацию протоколов 3G и 4G, а также прямую эксплуатацию устройств по SMS. Одна из тактик включала отправку вредоносных SMS с скрытыми командами для извлечения геопозиции и превращения аппарата в ковертный маячок. Обе группы злоумышленников применяли кастомное программное обеспечение для имитации операторов, манипуляции с сигнализацией и перенаправления трафика через специфические узлы межсетевого взаимодействия, чтобы скрыть свои действия. Атаки эксплуатировали инфраструктуру десятков операторов по всему миру, включая компании из ОАЭ, Великобритании, Ирана и Китая.
Для защиты эксперты рекомендуют: 1. Внедрение расширенных систем обнаружения аномалий в сигнализацию (например, анализ TID, паттернов маршрутизации и заголовков Diameter). 2. Регулярную проверку соответствия трафика заявленным маршрутам в документах IR.21. 3. Использование динамических политик защиты границ сети с автоматической блокировкой подозрительных запросов. 4. Повышение осведомленности операторов о рисках лизинга инфраструктуры в юрисдикциях с высоким уровнем злоупотреблений.
Эти меры помогут снизить уязвимость сетей к эксплуатации глобального сигнального хабов и предотвратить массовое отслеживание абонентов.
На основе предоставленного текста, вот структурированный анализ выявленных тактик, инфраструктуры и кампаний мобильного шпионажа:
Атакующие используют сложные техники для маскировки и обхода систем безопасности:
- Манипуляция идентификацией:
- Спотифнг (подделка) адресов: Злоумышленники подделывают имена узлов (
Origin-Host) и доменные имена операторов в заголовках сообщений Diameter, чтобы обойти брандмауэр защиты целевой сети. - Использование третьих лиц: Вместо прямого подключения, атаки проходят через посредников (например,
Comfone AG,BICS,Tata Communications), которые не связаны с целевым оператором, скрывая истинного источника атаки.
- Спотифнг (подделка) адресов: Злоумышленники подделывают имена узлов (
- Эксплуатация стандартов маршрутизации:
- SS7 (Замещенные GT): Использование Глобальных заголовков (GT), не соответствующих официальным документам IR.21 оператора. Анализ
Point Code(PC) показывает несоответствия между заявленным провайдером и тем, кто фактически отправляет трафик. - Diameter (Маршрутизация IP): Подмена записей
Route-Record, чтобы скрыть истинный путь прохождения трафика через узлы межсетевого взаимодействия (IPX).
- SS7 (Замещенные GT): Использование Глобальных заголовков (GT), не соответствующих официальным документам IR.21 оператора. Анализ
- Технические отпечатки (Fingerprints):
- Последовательные TID: Использование почти последовательных идентификаторов транзакций (TID) указывает на централизованную платформу управления (C2).
- Нестандартные Session ID: Использование уникальных форматов Session ID (например, UUID-подобные токены или вшитый IMSI цели) для отслеживания ответов.
- Идентичные команды: Использование одинаковых параметров запросов (SS7 Location, Subscriber Info, IMEI) на разных сетях указывает на общий инструмент.
Исследование выявило три ключевые сети-посредника, которые используются для вставки трафика в глобальную сигнализацию:
Обозначение Название сети / Компания Страна / Регион Роль в атаке 019Mobile Telzar 019 Израиль Используется как первый узел прокси и транзитный пункт для запросов отслеживания местоположения в сети 4G. Скрыт от DNS, доступен через Partner Communications. Airtel Jersey / Sure Airtel Jersey / Sure Group Джерси (Канальные острова) Узел первого уровня для запросов Diameter. Исторически связываем с глобальным роуминг и слежкой. Tango Networks UK Tango Networks UK Ltd Великобритания Входит в экосистему после слияния с Limitless Mobile. Используется как второй входной пункт для атак первой группы (STA1).Анализ атаки, направленной на абонента-VVIP (верховен уровень) в ОАЭ:
- Этап 1: Разведка (SS7): Отправлено 2 запроса
sendRoutingInfoForSMот имени оператора SEATEL (Камбоджа). Результат: Блокировано брандмауэром. - Этап 2: Попытки SS7: Массированные запросы
provideSubscriberInfo(PSI) с использованием GT из Камбоджи, Мозамбика, Швеции, Италии, Лихтенштейна, Уганды. Цель — найти доверенный путь через фаервол. - Этап 3: Переключение на Diameter: После неудач в SS7 атака переключается на 4G/Diameter.
- Запросы
Insert-Subscriber-Data-Request(IDR) отTango Networks UK(Великобритания). - Запросы от
019Mobile(Израиль).
- Запросы
- Этап 4: Возврат к SS7 с эскалацией: Возврат к SS7 для дальнейших попыток, используя новые узлы и параметры.
- Реальность доступа: Атакующие интегрируются с легитимными операторами и используют их инфраструктуру для масштабных операций слежки.
- Риск лизинга: Юрисдикции с расслабленным регулированием (Джерси, ОАЭ и др.) могут непреднамеренно становиться точками входа.
- Защита:
- Мониторинг несоответствий в маршрутизации (сравнение наблюдаемого OPC с IR.21).
- Анализ паттернов Session ID и TID для выявления централизованных источников атак.
- Строгая верификация операторов, через которых проходит транзитный трафик.