Хакеры взломали Telegram, чтобы обчистить криптокошельки крупных бизнесменов
Несколько бизнесменов, играющих заметные роли в криптовалютной отрасли, подверглись атакам через "систему сигнализации №7": злоумышленники смогли перенаправить звонки и SMS-сообщения другому провайдеру. Кибератаки через "систему сигнализации №7" в последние годы участились, но их выполнение требует высокого уровня подготовки.
Сигнал семь
Неизвестные киберзлоумышленники воспользовались системой ОКС-7 (SS7), объединяющей мобильные сети всего мира, и с ее помощью получили доступ к аккаунтам в Telegram и почтовым ящикам нескольких крупных игроков на рынке криптовалют.
Система сигнализации №7, или ОКС-7 (общий канал сигнализации № 7) - это набор сигнальных телефонных протоколов, используемых для настройки большей части телефонных станций по всему миру на основе сетей с канальным разделением по времени. В основе ОКС-7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.
Злоумышленникам удалось перехватить коды двухфакторной авторизации, которые прошли через систему SMS мобильного оператора жертвы. Как поясняется в материале Bleeping Computer, злоумышленники могут перехватывать текстовые сообщения и звонки, подменяя местоположение оператора жертвы - так, будто она перешла в роуминг.
Атака состоялась 20 сентября 2020 г. Ее объектами стали как минимум двадцать клиентов сотовой компании Partner Communications Company (ранее известной как Orange Israel). Все они вовлечены в крупные проекты, связанные с криптовалютами. По словам Цахи Ганота (Tscahi Ganot), эксперта компании Pandora Security, который занимался расследованием, все указывает, что атака была произведена именно через SS7.
Работали профессионалы
По мнению Ганота, хакеры, вероятно, скомпрометировали систему отправки коротких сообщений (short message service center - SMSC) неназванного мобильного оператора, который направил в сети Partner запросы на смену локации (и сети) для номеров жертв. Запрос сводился к тому, чтобы Partner перенаправлял все звонки и SMS-сообщения, предназначенные для жертв атаки, в скомпрометированный мобильный центр коммутации (MCS).
По-видимому, злоумышленники обладали большим количеством информации о своих жертвах и их телефонах. Им были известны идентификаторы MSISDN (Mobile Station International Subscriber Directory Number) и IMSI (International Mobile Subscriber Identity) и даже некоторые пароли. При этом их цель была совершенно приземленной: добраться до криптовалютных кошельков.
"Атаки через ОКС-7 требуют обширных знаний об архитектуре мобильных сетей, того, как они обмениваются данными и каким образом производится маршрутизация данных, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - В последние годы они участились, но остаются пока что "привилегией" профессионалов в сфере киберкриминала. На то же указывает тщательный сбор данных о жертвах, предшествовавший атакам. В принципе, часть этих данных могла быть использована для столь же эффективных, но менее затратных атак".
По словам Ганота, часть почтовых аккаунтов, которые удалось скомпрометировать злоумышленникам, являлись резервами для других почтовых ящиков, в которых содержались более критичные для бизнеса жертв сведения.
"В некоторых случаях хакеры выдавали себя за своих жертв в переписке через Telegram, и обращались к их знакомым с просьбами сконвертировать BTC (биткоины) в ETC (Ethereum, другая криптовалюта) и т. д.", - отметил Ганот, добавив, что как раз это и оказалось самым слабым местом во всей операции, поскольку операторы криптовалют хорошо знают, что обычно ничего хорошего за такими запросами не стоит.
"Насколько мы знаем, никто не поддался", - заметил исследователь. По словам Ганота, двухфакторная авторизация через SMS или звонки сегодня уже не считается надежным методом защиты пользовательских данных. Существуют куда более надежные средства, в том числе специализированные приложения и физические ключи. Но многие сервисы продолжают полагаться именно на традиционную двухфакторную авторизацию.
Ганот также заметил, что телеком-операторам давно бы следовало уже перейти на более современные протоколы соединений, нежели ОКС-7. Эта система была разработана еще в 1975 г. для фиксированных линий и многих современных проблем она решить не может по определению. Любопытно, что в расследование данного инцидента были вовлечены также представители Национальной разведывательной службы Израиля ("Моссада") и Национального управления по кибербезопасности этого государства.