Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Citizen Lab rivela l’esistenza di un sistema di sorveglianza che sfruttano vulnerabilità nelle reti telecom globali per tracciare utenti senza accedere ai dispositivi. Attraverso protocolli come SS7 e Diameter, riescono a localizzare gli utenti, intercettare metadati e monitorare movimenti su larga scala. L’indagine mostra operazioni in diversi Paesi, spesso legate a fornitori commerciali di tecnologie di sorveglianza.
Non è una novità, sia ben chiaro. Un telefono cellulare in tasca può trasformarsi in uno strumento di sorveglianza senza che l’utente se ne renda conto. Una nuova indagine di Citizen Lab rivela che da anni gli hacker tracciano le persone in tutto il mondo, sfruttando le vulnerabilità dell’infrastruttura di comunicazione mobile stessa.
Gli esperti hanno descritto due distinte campagne di sorveglianza. Entrambe sono gestite da fornitori di servizi di sorveglianza commerciali che vendono l’accesso a tali funzionalità a clienti governativi. Queste aziende si mascherano da operatori di telecomunicazioni e operano come partecipanti “fantasma” del mercato, utilizzando le reti di altre aziende per ottenere dati sulla posizione degli abbonati.
Entrambe le campagne sfruttano un problema di vecchia data delle reti mobili. Il protocollo SS7 (noto per le sue falle di sicurezza a livello di protocollo), che collega gli operatori di tutto il mondo da decenni, non verifica chi invia i comandi di servizio né crittografa i dati. Ciò significa che chiunque abbia accesso all’infrastruttura può inviare richieste e ottenere informazioni sulla posizione di un telefono. Il più recente protocollo Diameter per le reti 4G e 5G è tecnicamente più sicuro, ma in pratica la protezione spesso non è attiva, quindi gli aggressori continuano a utilizzare gli stessi metodi o semplicemente passano da un protocollo all’altro.
La prima campagna ha dimostrato fino a che punto si fossero spinte queste operazioni.
Gli aggressori monitoravano persone in diversi paesi da anni, sfruttando le infrastrutture degli operatori di telecomunicazioni in tutto il mondo. Durante un attacco, hanno inviato richieste da reti di più paesi nell’arco di diverse ore, modificando percorsi e protocolli per eludere i sistemi di sicurezza. L’obiettivo era un individuo associato a una grande azienda, che l’operatore aveva descritto come un “abbonato di alto valore“.
L’indagine coinvolge tre operatori che gestivano regolarmente traffico sospetto: l’israeliano 019Mobile, il britannico Tango Networks e Airtel Jersey, un operatore con sede a Jersey e parte del gruppo Sure. Gli aggressori hanno utilizzato la loro infrastruttura per inviare richieste, nascondendone l’origine.
Sure ha dichiarato di non fornire accesso alle reti per scopi di sorveglianza e di impegnarsi a bloccare tali attività. I rappresentanti di 019Mobile hanno affermato di non poter confermare che l’infrastruttura in questione appartenga a loro.
Secondo gli autori dell’indagine, la natura degli attacchi indica un’operazione ben finanziata e profondamente integrata nelle infrastrutture di telecomunicazione. Vi sono indizi indiretti che un fornitore israeliano di servizi di geolocalizzazione potrebbe essere dietro una delle campagne, ma non sono state identificate aziende specifiche.
La seconda campagna ha utilizzato un approccio diverso. Invece di richieste di rete, gli aggressori hanno inviato speciali messaggi SMS invisibili all’utente. Questi messaggi sono progettati per interagire con la scheda SIM e vengono in genere utilizzati dagli operatori telefonici per configurare i dispositivi. Nell’attacco, contenevano comandi che costringevano il telefono a inviare i dati di geolocalizzazione all’aggressore.
Questo metodo è noto come SIMjacking. Permette di trasformare una scheda SIM in un modulo spia senza alcuna interazione da parte dell’utente. Il messaggio non viene visualizzato né salvato, ma viene eseguito automaticamente. Secondo uno degli autori dell’indagine, si registrano migliaia di attacchi di questo tipo, ma sono estremamente difficili da rilevare.
Gli autori hanno scoperto che entrambe le campagne rappresentano solo una piccola parte di ciò che sta accadendo. In realtà, ci sono milioni di tentativi simili in tutto il mondo. Inoltre, gli aggressori spesso prendono di mira paesi e reti specifici in cui la sicurezza è più debole.
È importante riportare che il problema non risiede in errori isolati o attacchi informatici, ma nell’architettura stessa dei protocolli di rete mobili. Le reti di diversi operatori sono state inizialmente costruite sulla fiducia reciproca e questo modello è rimasto sostanzialmente invariato. Finché gli operatori non inizieranno a monitorare rigorosamente il traffico di servizio e a limitarne l’accesso alle infrastrutture, le comunicazioni mobili rimarranno una comoda piattaforma per la sorveglianza occulta.
