Hackers με πρόσβαση στο Signaling System 7 (SS7) που χρησιμοποιείται για τη σύνδεση στα δίκτυα κινητής τηλεφωνίας σε όλο τον κόσμο μπόρεσαν να αποκτήσουν πρόσβαση στο messenger του Telegram και στα δεδομένα των email ατόμων υψηλού προφίλ στην επιχείρηση του cryptocurrency.
Οι hackers απέκτησαν τους κωδικούς σύνδεσης δύο παραγόντων ελέγχου ταυτότητας (2FA) μέσω του συστήματος σύντομων μηνυμάτων του παρόχου κινητής τηλεφωνίας του θύματος.
Καλά προετοιμασμένοι hackers
Οι hackers που πραγματοποιούν μια επίθεση SS7 μπορούν να παρακολουθούν τα text messages και τις κλήσεις ενός χρήστη λαμβάνοντας ενημέρωση για τη θέση της συσκευής του σαν να έχει εγγραφεί σε ένα διαφορετικό δίκτυο (σενάριο roaming).
Η επίθεση συνέβη τον Σεπτέμβριο και είχε ως στόχο τουλάχιστον 20 συνδρομητές της Partner Communications Company (παλαιότερα γνωστή ως Orange Israel) – όλοι τους συμμετείχαν σε ένα υψηλό επίπεδο σε cryptocurrency projects.
Ο Tsachi Ganot, συνιδρυτής της Pandora Security στο Tel-Aviv, ο οποίος ερεύνησε το περιστατικό και βοήθησε τα θύματα να αποκτήσουν ξανά πρόσβαση στους λογαριασμούς τους, δήλωσε στο BleepingComputer ότι όλες οι ενδείξεις δείχνουν μια επίθεση SS7.
Η Pandora Security ειδικεύεται στη δημιουργία ασφαλών ψηφιακών περιβαλλόντων και παρέχει τεχνολογία και υπηρεσίες στον κυβερνοχώρο για άτομα υψηλού προφίλ, όπως εξέχουσες επιχειρηματικές προσωπικότητες και διασημότητες. Σύμφωνα με τον Ganot, οι πελάτες είναι μερικοί από τους πιο πλούσιους ανθρώπους στον κόσμο.
Ο Ganot μας είπε ότι οι εισβολείς πιθανώς πλαστογράφησαν το κέντρο εξυπηρέτησης σύντομων μηνυμάτων (SMSC) ενός χειριστή δικτύου κινητής τηλεφωνίας για να στείλουν το “update location request” για έναν στοχευμένο αριθμό τηλεφώνων στην Partner (άλλοι πάροχοι ενδέχεται να εξακολουθούν να είναι ευάλωτοι σε αυτό το είδος της επίθεσης).
Το αίτημα ενημέρωσης ζήτησε ουσιαστικά από την Partner να στείλει στο πλαστό MSC όλες τις φωνητικές κλήσεις και τα μηνύματα SMS που προορίζονται για τα θύματα.
Ο Ganot λέει ότι οι επιτιθέμενοι είχαν καλές γνώσεις των λογαριασμών των θυμάτων και των κωδικών πρόσβασης
τους. Γνώριζαν μοναδικούς διεθνείς αριθμούς συνδρομητών και διεθνείς αριθμούς ταυτότητας συνδρομητή κινητής τηλεφωνίας (IMSI).Οι επιθέσεις SS7, ενώ είναι συχνότερες τα τελευταία χρόνια, δεν είναι εύκολο να πραγματοποιηθούν και απαιτούν καλή γνώση της αλληλεπίδρασης των οικιακών κινητών δικτύων και της δρομολόγησης της επικοινωνίας σε παγκόσμιο επίπεδο.
Σε αυτήν την περίπτωση, ο στόχος των hackers ήταν να αποκτήσουν cryptocurrency. Ο Ganot πιστεύει ότι ορισμένα από τα εισερχόμενα παραβιάστηκαν με αυτόν τον τρόπο για να λειτουργήσουν ως εφεδρική μέθοδος για άλλους λογαριασμούς email με περισσότερα δεδομένα, επιτρέποντας στον απειλητικό παράγοντα να επιτύχει τον στόχο του.
Αυτή η μέθοδος είναι γνωστή στην κοινότητα του cryptocurrency και οι χρήστες συνήθως είναι επιφυλακτικοί σχετικά με τέτοια αιτήματα. Ο Ganot λέει ότι «από όσο γνωρίζουμε κανείς δεν πιάστηκε στο δόλωμα».
Παρόλο που η αποστολή κωδικών επαλήθευσης μέσω SMS θεωρείται ευρέως επισφαλής στην κοινότητα των πληροφοριών, πολλές υπηρεσίες εξακολουθούν να βασίζονται σε αυτήν την πρακτική, θέτοντας τους χρήστες σε κίνδυνο.
Σήμερα υπάρχουν καλύτερες μέθοδοι ελέγχου ταυτότητας από τον έλεγχο ταυτότητας 2FA μέσω SMS ή κλήσεων. Οι εφαρμογές που δημιουργήθηκαν ειδικά για αυτόν τον σκοπό ή τα “physical keys” είναι μεταξύ των λύσεων, λέει ο Ganot, προσθέτοντας επίσης ότι τα πρότυπα τηλεπικοινωνιών πρέπει να απομακρυνθούν από παλαιότερα πρωτόκολλα όπως το SS7 (αναπτύχθηκε το 1975), τα οποία δεν μπορούν να αντιμετωπίσουν πολλά σύγχρονα ζητήματα.
Η ισραηλινή εφημερίδα Haaretz δημοσίευσε λεπτομέρειες σχετικά με αυτήν την επίθεση νωρίτερα αυτό το μήνα, λέγοντας ότι η εθνική υπηρεσία πληροφοριών του Ισραήλ (Mossad) και η Εθνική Αρχή Ασφάλειας στον κυβερνοχώρο συμμετείχαν στην έρευνα.