Одной из ключевых проблем современной мобильной связи является обеспечение безопасности и конфиденциальности пользователей. Несмотря на внедрение новейших технологий, уязвимости в протоколах, которые лежат в основе мобильной связи, продолжают сохранять угрозу для личных данных. Одним из таких протоколов является Signaling System 7 (SS7) — международный стандарт сигнализации, с помощью которого операторы мобильной связи обмениваются информацией и управляют голосовыми и текстовыми вызовами, а также передачей данных. Однако именно SS7 становится площадкой для различных видов атак, направленных на получение конфиденциальной информации, включая местоположение пользователей. Недавно специалисты компании Enea обнаружили новую методику обхода защит SS7, которая позволяла злоумышленникам, предположительно связанной с фирмой по наблюдению, получать доступ к данным о физическом местонахождении абонентов мобильной связи.
Основная суть атаки заключается в манипуляциях с так называемыми TCAP-сообщениями (Transaction Capabilities Application Part), которые функционируют поверх протокола SS7. TCAP выполняет важную функцию — обеспечивает взаимодействие между различными сетевыми элементами в процессе обмена данными и инициирует операции, необходимые для обслуживания пользователя. В частности, в рамках TCAP используется множество элементов, среди которых особо важным является элемент Invoke, который отвечает за инициацию определенной операции. В описанном случае атаки злоумышленники изменяли структуру TCAP-сообщений, используя так называемое расширение кода Tag, который содержит IMSI (International Mobile Subscriber Identity) — уникальный идентификатор каждого абонента мобильной связи. Расширение поля Tag позволяло исказить или скрыть значение IMSI внутри сообщения, благодаря чему стандартные механизмы проверки и фильтрации, используемые операторами для защиты от несанкционированных запросов, просто не могли распознать и заблокировать эти сообщения.
IMSI играет критическую роль в системах безопасности, так как он используется для идентификации абонента и определения, стоит ли разрешать определенный запрос на получение данных, таких как информация о местоположении. Обычно операторы блокируют любые PSI (ProvideSubscriberInfo) команды, которые поступают из внешних сетей и пытаются запросить данные для абонентов собственной сети. Тем не менее, благодаря манипуляциям с TCAP, злоумышленники смогли скрыть IMSI, обойдя таким образом эти ограничения и получив несанкционированный доступ к информации о текущем местоположении пользователя. Эта методика представляла собой сложную инжиниринговую задачу, так как требовала глубокого понимания внутренней структуры SS7-сообщений и особенностей реализации программного обеспечения операторов. В результате некоторые операторы оказались уязвимыми, поскольку их программные стеки для декодирования SS7 не предусматривали обработку нештатных или расширенных форматов TCAP-пакетов.
Кроме того, системы безопасности, установленные поверх этих стеков, не были достаточно строгими в отношении обработки подобных сообщений и пропускали неподходящие или некорректные структуры PDUs (Protocol Data Units). Согласно информации от Enea, подобные атаки велись с конца 2024 года и использовались в качестве тестовой методики фирмой по наблюдению для обхода защит операторов мобильной связи. Точной оценки масштабов и степени успешности атаки в глобальном масштабе нет, поскольку она зависит от конкретных вариантов и версий программного обеспечения, используемого операторами. Тем не менее, факт применения данной техники свидетельствует о значительной угрозе безопасности в мобильных сетях. Для защиты от подобных атак специалисты рекомендуют операторам мобильной связи ужесточать фильтрацию сообщений на уровне протокола SS7 и TCAP.
В частности, необходимо блокировать все некорректные и нерасшифровываемые структуры PDUs, которые не могут быть однозначно идентифицированы как безопасные. Также нужно внимательно проверять наличие и корректность IMSI в таких сообщениях и блокировать поступающие MAP (Mobile Application Part) запросы, в которых отсутствует или искажён идентификатор абонента. Кроме того, важно обновлять программное обеспечение операторских стеков SS7 для того, чтобы они поддерживали более современные и строго стандартизированные способы обработки TCAP-сообщений, включая расширенные коды Tag. Это позволит заметить попытки скрыть или манипулировать идентификационными данными в запросах и своевременно блокировать подозрительную активность. Обнаруженная атака, связанная с обходом защит SS7 так называемым методом «расширенного Tag», является одной из новых эволюций в технике эксплуатации уязвимостей мобильных сетей.
Она дополнительно подчеркивает необходимость создания комплексных решений для мониторинга и защиты транспортных протоколов сигнализации, тесно взаимодействующих с ядром мобильной сети и обеспечивающих безопасность пользователей. Стоит отметить, что проблема безопасности SS7 далеко не новая. В последние годы было опубликовано множество исследований, описывающих возможности злоумышленников получать конфиденциальные данные, прослушивать звонки и даже вмешиваться в работу сотовых сетей. Однако усилия по решению этих проблем часто сдерживаются сложностью и устареванием протокола, а также необходимостью совместимости между десятками тысяч операторов по всему миру. Современные мобильные сети, включая LTE и 5G, постепенно внедряют новые протоколы сигнализации, обладающие более высокими требованиями к безопасности, однако переход на них происходит поэтапно и занимает длительное время.
В это время операторы остаются уязвимыми к атакам через SS7, особенно если не обновляют свои стеки и средства защиты. В условиях постоянного роста числа мобильных пользователей и расширения зон покрытия, а также активного использования мобильных устройств для важнейших сервисов, таких как финансовые операции, государственные услуги и коммуникации, обеспечение безопасности данных становится крайне актуальной задачей. Угроза слежки и утечки информации способна серьезно подорвать доверие пользователей и навредить репутации операторов. Регуляторы и отраслевые объединения рекомендуют операторам мобильно связи не только технически совершенствовать защиту сетей, но и внедрять комплексные системы мониторинга и анализа аномалий в трафике сигнализации. Таким образом можно оперативно выявлять попытки злоупотребления протоколом и предотвращать потенциальные утечки данных.
В заключение следует обратить внимание, что выявленная техника обхода защит SS7 — это пример того, как злоумышленники используют архитектурные особенности и недостатки систем безопасности для достижения своих целей. Только комплексный подход, сочетающий обновление ПО, мониторинг и жесткую фильтрацию, позволит минимизировать риски и защитить пользователей мобильных сетей от утечки данных о местоположении и других видов атак.
