← На главную

Глобальная кампания использует SMS и сети 3G/4G для слежки за жертвами. Эксперты предлагают анализировать аномалии и блокировать подозрительные запросы.

03.05.2026 16:15 · hackernews

Исследователи выявили масштабную глобальную кампанию слежки, где злоумышленники используют сложные инструменты для отслеживания жертв через комбинацию протоколов 3G и 4G, а также прямую эксплуатацию устройств по SMS. Одна из тактик включала отправку вредоносных SMS с скрытыми командами для извлечения геопозиции и превращения аппарата в ковертный маячок. Обе группы злоумышленников применяли кастомное программное обеспечение для имитации операторов, манипуляции с сигнализацией и перенаправления трафика через специфические узлы межсетевого взаимодействия, чтобы скрыть свои действия. Атаки эксплуатировали инфраструктуру десятков операторов по всему миру, включая компании из ОАЭ, Великобритании, Ирана и Китая.

Для защиты эксперты рекомендуют: 1. Внедрение расширенных систем обнаружения аномалий в сигнализацию (например, анализ TID, паттернов маршрутизации и заголовков Diameter). 2. Регулярную проверку соответствия трафика заявленным маршрутам в документах IR.21. 3. Использование динамических политик защиты границ сети с автоматической блокировкой подозрительных запросов. 4. Повышение осведомленности операторов о рисках лизинга инфраструктуры в юрисдикциях с высоким уровнем злоупотреблений.

Эти меры помогут снизить уязвимость сетей к эксплуатации глобального сигнального хабов и предотвратить массовое отслеживание абонентов.

На основе предоставленного текста, вот структурированный анализ выявленных тактик, инфраструктуры и кампаний мобильного шпионажа:

Атакующие используют сложные техники для маскировки и обхода систем безопасности:

Исследование выявило три ключевые сети-посредника, которые используются для вставки трафика в глобальную сигнализацию:

Обозначение Название сети / Компания Страна / Регион Роль в атаке 019Mobile Telzar 019 Израиль Используется как первый узел прокси и транзитный пункт для запросов отслеживания местоположения в сети 4G. Скрыт от DNS, доступен через Partner Communications. Airtel Jersey / Sure Airtel Jersey / Sure Group Джерси (Канальные острова) Узел первого уровня для запросов Diameter. Исторически связываем с глобальным роуминг и слежкой. Tango Networks UK Tango Networks UK Ltd Великобритания Входит в экосистему после слияния с Limitless Mobile. Используется как второй входной пункт для атак первой группы (STA1).

Анализ атаки, направленной на абонента-VVIP (верховен уровень) в ОАЭ:

  1. Этап 1: Разведка (SS7): Отправлено 2 запроса sendRoutingInfoForSM от имени оператора SEATEL (Камбоджа). Результат: Блокировано брандмауэром.
  2. Этап 2: Попытки SS7: Массированные запросы provideSubscriberInfo (PSI) с использованием GT из Камбоджи, Мозамбика, Швеции, Италии, Лихтенштейна, Уганды. Цель — найти доверенный путь через фаервол.
  3. Этап 3: Переключение на Diameter: После неудач в SS7 атака переключается на 4G/Diameter.
    • Запросы Insert-Subscriber-Data-Request (IDR) от Tango Networks UK (Великобритания).
    • Запросы от 019Mobile (Израиль).
  4. Этап 4: Возврат к SS7 с эскалацией: Возврат к SS7 для дальнейших попыток, используя новые узлы и параметры.
Читать оригинал →