УСТАРЕВШАЯ ТЕХНОЛОГИЯ SIM-КАРТ УГРОЖАЕТ МИЛЛИАРДУ АБОНЕНТОВ
Исследователи обнаружили шпионскую кампанию, эксплуатирующую прошивку SIM-карт. Злоумышленники используют скрытые системные приложения
Вредоносная технология получила название Simjacker; аналитики полагают, что за ней стоит профессиональная кибер группировка, которая начала кампанию как минимум два года назад. Этот метод гораздо сложнее известных ранее способов слежки за сотовыми абонентами, но при этом требует практически нулевых инвестиций в инфраструктуру — все операции идут через простой GSM-модем стоимостью $10.
Что такое Simjacker:
этот метод использует возможности служебной программы S@T Browser, которая поддерживает рабочие сервисы SIM-карт (например, запрос баланса или трансляцию сообщений от сотового провайдера). Это приложение считается устаревшим — в последний раз его обновляли в 2009 году. Тем не менее, оно все еще установлено на значительной части устройств.
Чтобы наладить слежку за абонентом, преступники отправляют на его аппарат специальное SMS-сообщение, адресованное напрямую S@T Browser. В нем закодированы команды, которые позволяют скрытно выполнять различные операции с пользовательским устройством. Обмен данными происходит без ведома владельца — полученные и отправленные сообщения не появляются в меню телефона.
В ходе выявленных атак злоумышленников интересовало географическое расположение и IMEI-номера целевых устройств. Исследователи определили, что таким образом можно заставить телефон совершить звонок, отправить SMS или открыть канал для передачи данных. В результате Simjacker предоставляет набор вредоносных возможностей, включая подписку на платные услуги, отправку SMS и MMS от лица жертвы, загрузку вредоносного ПО через браузер телефона.
Масштаб угрозы
По словам экспертов, уязвимую технологию применяют сотовые операторы в 30 странах, которые суммарно обслуживают миллиард абонентов. Обнаруженные атаки были направлены на владельцев телефонов Apple, Motorola, Samsung, Google и других крупных производителей. Simjacker можно также использовать для атак на IoT-устройства с SIM-картами.
Исследователи не раскрывают свои предположения относительно организаторов кампании, уточняя только, что это частная организация, которая работает с правительственными структурами. Помимо Simjacker, злоумышленники используют уже известные эксплойты на базе протоколов
SS7 и Diameter.
Авторы атак ежедневно следят за сотнями пользователей. Некоторые жертвы вызывают у них особый интерес — преступники отправляли на их устройства по несколько сотен запросов в неделю. В других случаях эта цифра не превышала нескольких обращений в месяц. Такой характер слежки позволяет предположить, что атаки таргетированы, а организаторы подбирают метод в соответствии с конкретной целью.
Как защититься от Simjacker
Провайдеры могут защитить своих абонентов, блокируя сообщения с командами для S@T Browser. Кроме того, они могут удаленно перепрограммировать SIM-карты или вовсе удалить с них уязвимое приложение. В то же время эксперты называют эти меры временными, а реальную безопасность обеспечит только новый подход к защите.
«Мобильные операторы должны понять, что существующих рекомендаций недостаточно для защиты пользователей, поскольку злоумышленники постоянно пытаются обойти эти препятствия, — поясняют эксперты. — Провайдеры должны постоянно следить за подозрительной активностью [в своих сетях], чтобы находить скрытые угрозы. Преступники уже не просто атакуют незащищенные сети — их кампании построены на целом комплексе протоколов, программных сред и технологий. Чтобы блокировать эти действия, операторам также нужно расширить свои способности и увеличить инвестиции [в информационную безопасность]».
Ранее специалисты
jобнаружили возможность скрытно менять сетевые настройки Android-устройств нескольких мировых производителей. Метод позволяет злоумышленникам подменить сервер для передачи информации на собственный и получить таким образом доступ к электронной почте, контактам и сообщениям жертвы.
Эксперты также предупреждали, что сотовые провайдеры зарабатывают на геолокационных данных абонентов, продавая их сторонним компаниям. В ходе эксперимента журналисты смогли определить местоположение целевого устройства с точностью до 500 метров, заплатив около $300.
