Компания SOS Intelligence изучила даркнет в поисках предложений по взлому SS7. Исследователи нашли 84 уникальных .onion-домена, где рекламировали подобные услуги, однако выяснилось, что за этими сайтами попросту скрываются мошенники.
Напомню, что о существовании уязвимостей в протоколе Signaling System 7 (SS7, Общий канал сигнализации № 7, ОКС-7) стало известно еще в середине 2010-х годов (1, 2), а вскоре были официально зафиксированы и первые атаки на эти проблемы. Помимо перехвата и подделки SMS, уязвимости в SS7 могут использоваться для перехвата или переадресации вызовов, кодов 2ФА, определения местоположения устройств и многого другого.
Разумеется, подобные услуги интересуют многих киберпреступников, и аналитики SOS Intelligence решили выяснить, что представляет собой рынок взлома SS7. Обнаружив 84 уникальных .onion-домена, предлагающих такие услуги, исследователи быстро сократили выборку до активных сайтов и получили всего четыре ресурса: SS7 Exploiter, SS7 ONLINE Exploiter, SS7 Hack и Dark Fox Market.
На всех четырех сайтах утверждалось, что их операторы предлагают услуги по перехвату и подделке SMS, отслеживанию местоположения, а также перехвату и перенаправлению звонков.
Однако эксперты заметили, что сайты выглядят изолированными и не имеют большого числа внешних ссылок. Обычно это верный показатель ненадежности, сигнализирующий о том, сайт является недавно созданной мошеннической платформой. Более того, сайт SS7 Hack оказался скопирован с сайта в открытом интернете, созданного в 2021 году.
Попытавшись использовать предлагаемый ресурсом набор эксплоитов для SS7 (в надежде на зеркалирование API), исследователи не добились никакого результата, так как служба оказалась отключена.
На платформе Dark Fox Market, которая взимает 180 долларов за каждый целевой номер телефона, исследователи вообще обнаружили демонстрационные видеоролики, загруженные российскими пользователями на YouTube еще в 2016 году. Скорее всего, эти видео были попросту украдены с YouTube и не имели никакого отношения к Dark Fox Market, которая в любом случае не предлагает работающей службы по взлому SS7.
Увы, изучив криптовалютные кошельки операторов этих сайтов, эксперты SOS Intelligence обнаружили, что мошенники зарабатывают на «взломе» SS7 немалые деньги.
Эксперты подчеркивают, что все вышеупомянутое не означает, что в даркнете вовсе нет сервисов по взлому SS7. Скорее, работающие решения скрыты на хакерских форумах, попасть на которые можно только по приглашениям, а также на торговых площадках, подобных World Market. Более того, подготовленные и опытные злоумышленники, как правило, имеют доступ к данным сотовых операторов через своих «партнеров» или благодаря собственным операциям, поэтому им услуги подобных сервисов и вовсе не требуются.
