Furnizori de supraveghere, prin companii „fantomă”, acuzați că abuzează de accesul la rețelele telecom globale pentru a spiona și localiza utilizatori de telefonie mobilă

Cercetători în domeniul securității au descoperit două campanii de spionaj distincte care exploatează vulnerabilități bine cunoscute din infrastructura globală de telecomunicații pentru a urmări locația persoanelor. Ei consideră că aceste două campanii reprezintă doar o mică parte dintr-un fenomen mult mai larg, în care furnizori de tehnologie de supraveghere caută acces la rețelele telefonice din întreaga lume.

Joi, organizația pentru drepturi digitale Citizen Lab, cu peste un deceniu de experiență în expunerea abuzurilor de supraveghere, a publicat un raport nou în care sunt detaliate aceste două campanii abia identificate. Furnizorii de supraveghere din spatele lor, pe care Citizen Lab nu i-a numit, au operat ca niște companii „fantomă” ce se prezentau drept operatori de telefonie mobilă legitimi. Ei își foloseau astfel accesul la rețele pentru a interoga datele de localizare ale țintelor lor.

Noile constatări arată că sunt exploatate în continuare slăbiciuni cunoscute în tehnologiile pe care se sprijină rețelele telefonice globale.

Una dintre aceste slăbiciuni ține de lipsa de securitate a sistemului de semnalizare SS7 (Signaling System 7), un set de protocoale pentru rețelele 2G și 3G care, timp de ani de zile, a constituit coloana vertebrală a modului în care rețelele mobile comunică între ele și direcționează apelurile și mesajele text ale abonaților la nivel mondial. De mult timp, cercetători și experți avertizează că guvernele și producătorii de tehnologii de supraveghere pot exploata vulnerabilități ale SS7 pentru a geolocaliza telefoanele mobile ale indivizilor. SS7 nu impune nici autentificare, nici criptare, ceea ce lasă deschisă calea pentru operatori rău intenționați care pot abuza de acest sistem.

Protocolul mai nou, Diameter, conceput pentru comunicațiile 4G și 5G, ar trebui să înlocuiască SS7 și include tocmai acele măsuri de securitate care lipseau la predecesorul său. Totuși, așa cum arată Citizen Lab în raport, există încă modalități de a exploata și Diameter, deoarece operatorii de telefonie nu implementează mereu corect noile protecții. În anumite situații, atacatorii pot reveni și la exploatarea vechiului protocol SS7.

Cele două campanii de spionaj au cel puțin un punct comun: ambele au abuzat de accesul la trei anumiți operatori de telecomunicații, care au acționat în mod repetat „ca puncte de intrare și tranzit pentru supraveghere în cadrul ecosistemului de telecomunicații”. Acest acces le-a oferit furnizorilor de supraveghere și clienților lor guvernamentali posibilitatea de a „se ascunde în spatele infrastructurii lor”, au explicat cercetătorii.

Potrivit raportului, primul operator este compania israeliană 019Mobile, care, spun cercetătorii, a fost folosită în mai multe tentative de supraveghere. Și providerul britanic Tango Networks U.K. ar fi fost utilizat în activități de supraveghere desfășurate pe parcursul mai multor ani.

Al treilea operator, Airtel Jersey, care activează pe insula Jersey din Canalul Mânecii și este acum deținut de compania Sure, a fost de asemenea implicat, iar rețelele Sure au mai fost asociate cu campanii de supraveghere anterioare.

Directorul general al Sure, Alistair Beak, a declarat că firma „does not lease access to signalling directly or knowingly to organisations for the purposes of locating or tracking individuals, or for intercepting communications content.”

„Sure acknowledges that digital services can be misused, which is why we take a number of steps to mitigate this risk. Sure has implemented several protective measures to prevent the misuse of signalling services, including monitoring and blocking inappropriate signalling,” se arată în declarația lui Beak. „Any evidence or valid complaint relating to the misuse of Sure’s network results in the service being immediately suspended and, where malicious or inappropriate activity is confirmed following investigation, permanently terminated.”

019Mobile și Tango Networks nu au răspuns solicitărilor de comentarii.

Conform Citizen Lab, primul furnizor de supraveghere a facilitat, de-a lungul mai multor ani, campanii de spionaj îndreptate împotriva unor ținte din diferite regiuni ale lumii, folosind infrastructura mai multor operatori de telefonie. Din acest motiv, cercetătorii au concluzionat că în spatele diverselor operațiuni se află clienți guvernamentali diferiți ai aceluiași furnizor.

„The evidence shows a deliberate and well-funded operation with deep integration into the mobile signaling ecosystem,” au scris cercetătorii.

Gary Miller, unul dintre cercetătorii care au investigat aceste atacuri, a explicat că anumite indicii duc către un „furnizor comercial de geo-intelligence cu sediul în Israel, specializat în capabilități telecom”, însă nu a nominalizat compania. Se știe că mai multe companii israeliene oferă servicii similare, inclusiv Circles (achiziționată ulterior de producătorul de spyware NSO Group), Cognyte și Rayzone.

Conform Citizen Lab, prima campanie s-a bazat pe încercarea de a exploata mai întâi vulnerabilități ale SS7, iar dacă acestea eșuau, atacatorii treceau la folosirea protocolului Diameter.

A doua campanie de spionaj a folosit însă alte metode. În acest caz, un alt furnizor de supraveghere — pe care Citizen Lab, de asemenea, nu îl numește — s-a bazat pe trimiterea unui tip special de mesaj SMS către o anumită țintă „cu profil înalt”, după cum au explicat cercetătorii.

Aceste mesaje, de tip text, sunt concepute să comunice direct cu cartela SIM a țintei, fără a lăsa urme vizibile pentru utilizator. În mod normal, ele sunt folosite de operatorii de telefonie pentru a trimite comenzi inofensive către cartelele SIM, necesare pentru menținerea dispozitivului conectat la rețea. De data aceasta însă, furnizorul de supraveghere a trimis comenzi care, practic, transformau telefonul țintei în dispozitiv de localizare, susțin cercetătorii. Acest tip de atac a fost denumit SIMjacker de către compania de securitate mobilă Enea în 2019.

„I’ve observed thousands of these attacks through the years, so I would say it’s a fairly common exploit that’s difficult to detect,” a spus Miller. „However, these attacks appear to be geographically-targeted, indicating that actors employing SIMjacker-style attacks likely know the countries and networks most vulnerable to them.”

Miller a subliniat că cele două campanii reprezintă doar o mică parte din amploarea fenomenului. „We only focused on two surveillance campaigns in a universe of millions of attacks across the globe,” a precizat el.