Хакеры, имевшие доступ к системе ОКС-7 (SS7), используемой для настройки мобильных сетей по всему миру, смогли получить доступ аккаунтам в Telegram и учетным записям электронной почты известных личностей в криптовалютном бизнесе, - сообщает Bleeping Computer.
Хакеры пытались получить коды для двухфакторной аутентификациии (2FA) через уязвимость в системе обмена СМС сообщениями провайдера мобильной связи жертвы.
Хакеры, проводящие атаку SS7, могут перехватывать текстовые сообщения и звонки настоящего получателя, обновляя местоположение устройства, как если бы оно было зарегистрировано в другой сети.
Атака произошла в сентябре и была направлена как минимум на 20 абонентов израильского оператора мобильной связи Partner Communications (ранее известной как Orange Israel), все из которых на высоком уровне участвовали в криптовалютных проектах.
Цачи Ганот, соучредитель компании Pandora Security в Тель-Авиве, которая расследовала инцидент и помогала жертвам восстановить доступ к их учетным записям, сказал изданию BleepingComputer, что все улики указывают на атаку SS7.
Pandora Security специализируется на создании безопасных цифровых сред и предоставляет кибер-технологии и услуги для известных людей, таких как известные бизнес-деятели и знаменитости. По словам Ганота, в число клиентов входят одни из самых богатых людей мира.
Ганот сообщил, что хакеры, вероятно, подделали центр службы, отвечающей за отправку и прием СМС сообщений (SMSC) оператора мобильной сети (нам не удалось выяснить какого), чтобы отправить запрос на обновление местоположения для интересующих их номеров телефонов Partner.
Запрос на обновление, по сути, требовал от Partner отправлять на поддельный MSC все голосовые вызовы и SMS-сообщения, предназначенные для настоящего получателя.
Изображение: Cellusys via BleepingComputer
Ганот говорит, что злоумышленники хорошо изучили учетные записи своих жертв и утекшие к ним пароли. Им были известны уникальные международные номера абонентов (MSISDN - International Subscriber Directory Number для мобильных станций) и номера International Mobile Subscriber Identity (IMSI).
Атаки SS7, хотя и стали более распространенными в последние годы, провести не просто, так как они требуют хороших знаний в области взаимодействия домашних мобильных сетей и маршрутизации связи на глобальном уровне.
В данном случае целью хакеров было получение криптовалюты. Ганот считает, что некоторые из почтовых ящиков, скомпрометированных таким образом, выступали в качестве метода резервного копирования для других учетных записей электронной почты с более ценной информацией, позволяя злоумышленнику получить к ней доступ.
Этот метод обмана хорошо известен в криптовалютном сообществе, и пользователи обычно настороженно относятся к таким запросам. Ганот говорит, что «насколько нам известно, никто не попался на удочку».«В некоторых случаях хакеры выдавали себя за жертв взломав их учетные записи Telegram и писали некоторым контактам, прося обменять BTC на ETC и тому подобное», - Цачи Ганот
Хотя отправка проверочных кодов по SMS не безосновательно считается небезопасной, многие сервисы, включая Telegram, по-прежнему полагаются на эту практику, подвергая пользователей риску.
Сегодня существуют лучшие методы аутентификации, чем с помощью SMS или на основе звонков. По словам Ганота, в число решений входят приложения, специально созданные для этой цели, или физические ключи. Телекоммуникационные стандарты должны отойти от устаревших протоколов, таких как SS7 (разработанные в 1975 году), которые уже не способны решать современные проблемы.
Израильская газета Haaretz опубликовала подробности об этой атаке в начале этого месяца, заявив, что к расследованию причастны израильское национальное разведывательное управление (Моссад) и Национальное управление кибербезопасности страны.
Издание также отмечает, что Ганот и его партнер (основатели Pandora Security) несколько лет работали в NSO.
Изображение на обложке: Manuel Geissinger via Pexels
Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей приватности и безопасности в интернете.
Читать далее...