21.07.2025
1 хв
577
Фахівці з кібербезпеки виявили новий вектор атаки на телеком-інфраструктуру, в котрому шпигунська компанія використовувала обхідний метод протоколу SS7 для прихованого відстеження місцезнаходження мобільних користувачів. Через маніпуляцію TCAP-пакетами їм вдалося обійти захист, збудований на основі IMSI-ідентифікації, що загрожує мільйонам абонентів по всьому світу.
Дослідження компанії Enea виявило активні зловмисні атаки, котрі експлуатують слабкості в протоколі SS7 — системі, що відповідає за глобальний обмін сигналами між мобільними операторами. Зловмисники використали TCAP–команди (Transaction Capabilities Application Part), які містять приховані змінені елементи, котрі не розпізнаються стандартними фаєрволами або сигнальними системами безпеки.
Ключовим елементом атаки став GSM-MAP запит ProvideSubscriberInfo (PSI), який у нормальному сценарії використовується для білінгу та контролю за роумінгом. У зміненій версії PSI–команду модифікували так, аби ІMSI–код абонента не розпізнавався системою безпеки, що дозволило отримати дані про місцезнаходження юзера.
Enea зазначає, що тег TCAP було навмисне змінено (extended Tag), через що сигнальні захисні елементи не ідентифікували IMSI як такий, що належить до домашньої мережі. Як наслідок — команда не блокувалась та проходила, навіть якщо вона приходила ззовні.
Цей обхід працює через недосконалість реалізації SS7-стеків у деяких операторів: старіші рішення не мають логіки для розпізнавання таких «невидимих» елементів.
SS7 (Signaling System 7) — це набір протоколів, який використовується для обміну інформацією між телеком-операторами. Він був розроблений у 1970-х роках і досі лежить в основі голосового зв’язку, роумінгу, SMS і викликів між операторами.
Протягом останнього десятиліття SS7 неодноразово критикували за слабкий захист, зокрема від атак, спрямованих на отримання локації юзерів або перехоплення SMS. TCAP — це частина SS7, яка використовується для запуску прикладних сервісів, і саме її структуру вдалося використати для цієї атаки. Цей вектор не є глобальною вразливістю протоколу — успіх атаки залежить від реалізації конкретного вендора.
Цей кейс ще раз доводить: старі протоколи, навіть із впровадженим захистом, залишаються критично вразливими, якщо не оновлюються й не аналізуються глибше. У новій атаці йдеться не про баг — а про маніпуляцію специфікацією, яка дає змогу обійти перевірку.
Фахівці радять блокувати всі невідомі або некоректні структури TCAP/SS7, а також MAP PDU, у котрих очікується IMSI, але він не знайдений. Це критичний крок у захисті абонентських даних.
