SS7 protokolli rünnates saavad häkkerid pealt kuulata tegeliku adressaadi tekstsõnumeid ja kõnesid.
Häkkerid, kellel oli juurdepääs süsteemile OKS-7 (SS7), mida kasutati mobiilsidevõrkude loomiseks üle maailma, pääsesid Bleeping Computeri andmetel ligi krüptorahaäris tuntud isikute Telegrami kontodele ja meilikontodele.
Häkkerid püüdsid ohvri mobiilioperaatori SMS-sõnumisüsteemi haavatavuse kaudu hankida kahefaktorilise autentimise (2FA) koode.
SS7 häkkerid saavad pealt kuulata tegeliku adressaadi tekstsõnumeid ja kõnesid, värskendades seadme asukohta nii, nagu oleks see teises võrgus registreeritud.
Rünnak toimus septembris ja selle sihtmärgiks oli vähemalt 20 Iisraeli mobiilioperaatori Partner Communications (endise nimega Orange Israel) abonenti, kes kõik olid seotud kõrgetasemeliste krüptovaluutaprojektidega.
Tzachi Ganot, Pandora Security kaasasutaja Tel Avivis, kes intsidenti uuris ja aitas ohvritel oma kontodele juurdepääsu taastada, ütles BleepingComputerile, et kõik tõendid viitavad SS7 rünnakule .
Pandora Security on spetsialiseerunud turvaliste digitaalsete keskkondade loomisele ning pakub kübertehnoloogiat ja teenuseid kõrgetasemelistele isikutele, nagu silmapaistvad äritegelased ja kuulsused. Ganoti sõnul on klientide seas maailma rikkamaid inimesi.
Ganot teatas, et häkkerid võltsisid tõenäoliselt mobiilsideoperaatori SMS-teenuste keskust (SMSC) (me ei suutnud kindlaks teha, millist), et saata neile huvipakkuvate partnerite telefoninumbrite asukoha värskendamise taotlus.
Uuendustaotlus nõudis sisuliselt, et Partner saadaks kõik tegelikule adressaadile mõeldud kõned ja SMS -id võlts- MSC -le.
Pilt: Cellusys BleepingComputeri kaudu
Ganot ütleb, et ründajad on uurinud oma ohvrite kontosid ja neile lekkinud paroole. Nad teadsid kordumatuid rahvusvahelisi abonendinumbreid (MSISDN – rahvusvaheline abonendi katalooginumber mobiiljaamadele) ja rahvusvahelisi mobiiliabonendi identifitseerimisnumbreid (IMSI ).
Kuigi SS7 rünnakuid on viimastel aastatel sagenenud, pole neid lihtne läbi viia, kuna need nõuavad häid teadmisi koduse mobiilsidevõrgu koostoimimisest ja side marsruutimisest globaalsel tasandil.
Sel juhul oli häkkerite eesmärk saada krüptovaluutat. Ganot usub, et mõned sel viisil ohustatud postkastid toimisid teiste väärtuslikuma teabega meilikontode varumeetodina, võimaldades ründajal sellele juurde pääseda.
"Mõnel juhul esinesid häkkerid ohvrina, häkkides nende Telegrami kontosid ja kirjutades mõnele kontaktile, paludes neil vahetada BTC ETC ja muu sarnase vastu." – Tzachi Ganot
See kelmus on krüptovaluutade kogukonnas hästi tuntud ja kasutajad on selliste taotluste suhtes üldiselt ettevaatlikud. Ganot ütleb, et "meie teada ei langenud keegi sööda alla."
Kuigi kinnituskoodide saatmist SMS-iga ei peeta põhjuseta ebaturvaliseks, tuginevad paljud teenused, sealhulgas Telegram, endiselt sellele praktikale, seades kasutajad ohtu.
Tänapäeval on paremaid autentimismeetodeid kui SMS- või kõnepõhine autentimine. Lahendused hõlmavad spetsiaalselt selleks otstarbeks loodud rakendusi või füüsilisi võtmeid, ütles Ganot. Telekommunikatsioonistandardid peavad eemalduma sellistest pärandprotokollidest nagu SS7 (välja töötatud 1975. aastal), mis ei suuda enam tänapäeva probleeme lahendada.
Iisraeli ajaleht Haaretz avaldas selle kuu alguses rünnaku üksikasjad, väites, et Iisraeli riiklik luureagentuur (Mossad) ja riigi küberjulgeoleku direktoraat olid uurimisega seotud.
Väljaanne märgib ka, et Ganot ja tema partner (Pandora Security asutajad) töötasid NSO heaks mitu aastat .