Атака Simjacker использовалась для слежки за владельцами SIM-карт на протяжении двух лет

Исследователи компании AdaptiveMobile Security описали атаку Simjacker, которая использует SMS-сообщения для передачи инструкций SIM Toolkit (STK) и S@T Browser на SIM-карте.

Эксперты предупредили, что эта атака представляет собой не просто концепт и регулярно применяется в реальности в последние два года. «Мы уверены, что этот эксплоит был разработан конкретной частной компанией, которая работает с правительствами для мониторинга отдельных лиц», — пишут эксперты.

Специалисты AdaptiveMobile не раскрывают название компании, осуществляющей эти атаки, и потому неясно, используется данная проблема для слежки за преступниками или террористами, или же ее применяют для отслеживания диссидентов, активистов и журналистов.

По информации исследователей, та же неназванная компания имеет расширенный доступ к базовой сети SS7 и Diameter, и цели Simjacker-атак нередко становятся жертвами атак через SS7. Судя по всему, атаки с использованием SS7 — менее предпочтительный и запасной вариант на случай, если Simjacker не работает. Дело в том, что в последнее время операторы уделяют куда больше времени и сил защите своей SS7- и Diameter-инфраструктуры, тогда как атаки Simjacker дешевы и просты в исполнении.

Суть атаки заключается в том, что с помощью смартфона или простого GSM-модема злоумышленник отправляет на устройство жертвы специальное SMS-cсообщение, содержащее скрытые инструкции для SIM Toolkit. Данные инструкции поддерживаются приложением S@T Browser, работающем на SIM-карте устройства.

STK и S@T Browser — старые технологии, поддерживаемые многими мобильными сетями и SIM-картами. С их помощью на устройстве можно выполнить различные действия, например, запустить браузер, воспроизвести звук или показывать всплывающие окна. Раньше мобильные операторы нередко использовали это, чтобы отправлять пользователям рекламные предложения или платежную информацию.

Атака Simjacker подразумевает, что злоумышленник злоупотребляет данным механизмом и приказывает устройству жертвы передать данные о местоположении и IMEI, которые SIM-карта отправит в SMS-сообщении на стороннее устройство, и атакующий в итоге сможет узнать местоположение своей цели. При этом пострадавшие от атаки пользователи не видят никаких SMS-сообщений и других следов компрометации. То есть злоумышленники могут постоянно заваливать своих жертв SMS-сообщениями и таким образом отслеживать их местоположение постоянно, на протяжении долгих недель или даже месяцев. Так как атака Simjacker направлена на SIM-карту, она не зависит от платформы и типа устройства пользователя.

«Мы заметили, что устройства почти всех производителей успешно позволяют узнать данные о местоположении пользователя: Apple, ZTE, Motorola, Samsung, Google, Huawei и даже IoT-устройства с SIM-картами», — пишут исследователи.

Эксперты AdaptiveMobile отмечают, что атаки Simjacker происходят ежедневно в большом количестве. Чаще всего телефонные номера отслеживаются несколько раз в день, в течение длительного периода времени.

«Схемы и количество отслеживающих устройств указывают на то, что это не масштабная операция массового слежения, но операция для отслеживания большого числа людей в различных целях, причем цели и приоритеты операторов меняются со временем», — говорят эксперты.

Также аналитики отмечают, что атаки Simjacker можно легко предотвратить, если операторы уделят внимание тому, какой именно код работает на их SIM-картах. Дело в том, что спецификация S@T Browser не обновлялась с 2009 года, а изначальная функциональность, вроде получения  информации о балансе счета через SIM-карту, давно устарела, и на смену ей пришли другие технологии. Однако устаревший S@T Browser по-прежнему используется и присутствует на SIM-картах операторов мобильной связи как минимум в 30 странах мира. Суммарно в этих странах проживает более одного миллиарда человек, и все они подвергаются риску незаметной слежки с помощью Simjacker.

По данным журналистов издания Vice Motherboard, операторы Sprint и T-Mobile заявили, что их пользователи не пострадали, а представители AT&T уверяют, что их американская сеть неуязвима перед такими атаками.

Хуже того, среди других команд, поддерживаемых S@T Browser, числится возможность совершать звонки, отправлять сообщения, отключать SIM-карту, запускать команды AT-модема, открывать браузеры (с фишинговыми ссылками или открывая вредоносные сайты) и многое другое. То есть при помощи атак Simjacker можно не только следить за пользователями, но и осуществлять финансовое мошенничество (звонки на премиальные номера), шпионаж (совершить вызов и прослушивать разговоры рядом с устройством), саботаж (отключение SIM-карты жертвы), устраивать дезинформирующие кампании (рассылка SMS/MMS с фальшивым контентом) и так далее.

При этом нужно отметить, что Simjacker-атаки не такое уж новое явление. К примеру, злоупотребление инструкциями STK на теоретическом уровне описывалось еще в 2011 году, ИБ-специалистом Богданом Алеку. Тогда эксперт предупреждал, что это можно использовать для отправки SMS на платные номера, или создания трудностей при получении обычных текстовых сообщений. Также аналогичная атака была продемонстрирована в 2013 году на конференции BlackHat.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (3)

  • Хоть бы прокоментировали, нас то каким то боком это касается??

  • > представители AT&T уверяют
    Ага, я помню достаточное кол-во случае, когда благодаря им уводили деньги со счёта, путём соц.инж