Изображение: Pexels

О безопасности сигнальных сетей SS7 мы (и не только мы) говорим достаточно давно, однако до сих пор есть много скептицизма: «никто не может получить доступ к SS7», «если даже кто-то получит доступ к SS7 и начнет вести нелегитимную активность, его сразу заблокируют в операторе-источнике» и даже «GSMA за всеми следит и, если что, даст по башке тому, кто этим занимается».

Однако на практике в проектах по мониторингу безопасности мы видим, что злоумышленники могут иметь подключение к сети SS7 в недрах одного оператора годами. Более того, злоумышленники не дожидаются, когда их подключение обнаружат и заблокируют в одном операторе-источнике, они параллельно ищут (и находят) подключения в других операторах, и могут работать параллельно по одним целям сразу из нескольких мест.

До последнего времени и мы, и другие компании, занимающиеся телеком-безопасностью, рассматривали следующие модели нарушителя в сигнальных сетях (в порядке вероятности):

• нарушители, получившие доступ к сигнальным сетям через инсайдера в телеком-операторе;
• нарушители, подконтрольные госорганам;
• нарушители, получившие доступ к сигнальным сетям с помощью взлома телеком-оператора.

Существование нарушителей, реально взломавших сеть оператора связи, обычно представляется наименее вероятным. Взлом же мобильного оператора через подсистему радиодоступа с дальнейшим получением доступа к сигнальной сети и вовсе считается практически невозможным. Теперь уже можно сказать: такой взлом считался практически невозможным (именно так, в прошедшем времени), поскольку на конференции по информационной безопасности Hack In The Box, которая только что завершилась в Дубае, группа исследователей показала, что злоумышленник может получить доступ к сети SS7, взломав оператора мобильной связи через его же радиоинтерфейс.

Схема атаки

Когда абонент подключается к мобильному интернету, его IP-сессия туннелируется от абонентского устройства, будь то смартфон, планшет или компьютер, подключенный через модем, до узла GGSN (в случае 2G/3G-сети) или до узла PGW (в случае LTE-сети). Когда пакетную сессию устанавливает злоумышленник, он может провести сканирование пограничного узла с целью поиска уязвимостей, найдя и проэксплуатировав которые он способен проникнуть глубже в опорную IP-сеть оператора.

Попав внутрь периметра мобильного оператора, злоумышленник должен отыскать платформы, которые представляют VAS-услуги и подключены к сигнальным сетям. В примере, представленном исследователями, это была платформа RBT (Ring-Back Tone), которая проигрывает мелодию вместо гудка. Данная платформа имела соединение по сигнальным каналам SS7 с узлами HLR и MSC.
Сетевые инженеры, устанавливавшие и эксплуатировавшие платформу RBT, не уделили должного внимания ее безопасности, считая, видимо, что она находится во внутреннем периметре оператора. Поэтому исследователям удалось относительно быстро получить доступ к системе и повысить свои права до уровня root.

Далее, имея права администратора на системе RBT, исследователи установили опенсорсное программное обеспечение, предназначенное для генерации сигнального трафика. С помощью этого ПО они просканировали внутреннюю сигнальную сеть и получили адреса сетевого окружения — HLR и MSC/VLR.

Теперь, зная адреса сетевых элементов и имея возможность полностью управлять сетевым элементом, подключенным к сигнальной сети SS7, исследователи получили идентификаторы IMSI своих телефонов, которые использовались в качестве тестовых жертв, и далее — информацию об их местоположении. Если бы злоумышленники аналогичным образом получили доступ к сигнальной сети, они могли бы атаковать любого абонента любого оператора мобильной связи.

В чем проблема

Для того чтобы начать защищаться, нужно понять, в чем именно состоит проблема, которая сделала возможной атаку, ранее считавшуюся нереализуемой. Ответ прост: проблема в множественных уязвимостях, причиной которых являются главным образом ошибки в конфигурации оборудования.

Технический прогресс, плодами которого являются новые услуги, приносит также и новые уязвимости. Чем больше сервисов предоставляет оператор связи, тем больше ответственность инженеров при настройке оборудования. Большое количество технологий требует более серьезного подхода к их использованию, в том числе с точки зрения информационной безопасности. Но, к сожалению, понимают это не везде.

Как защититься

В заключение своего доклада исследователи дали операторам мобильной связи ряд рекомендаций, как избежать подобных взломов со стороны реальных нарушителей. Во-первых, необходимо тщательно настраивать внутреннюю опорную IP-сеть, проводить сегрегацию трафика, привязывать сервисы к соответствующим сетевым интерфейсам, ограничивать доступность сетевых элементов со стороны мобильных устройств и из интернета, не использовать пароли по умолчанию. Другими словами, все сетевые элементы IP-сети должны соответствовать стандартам и политикам безопасности. Для этого Positive Technologies рекомендует использовать решение MaxPatrol 8, которое поможет просканировать сетевые элементы внутренней сети и найти уязвимости раньше, чем это сделает злоумышленник.

Во-вторых, нужно использовать активные средства защиты сигнальных сетей, такие как SS7 firewall. Решение такого класса позволит не допустить атак по сигнальной сети извне, а также атак из сети мобильного оператора в отношении других сетей — если злоумышленнику все же удалось получить несанкционированный доступ к сигнальной сети через радиоподсистему или интернет.
И в-третьих — в обязательном порядке использовать систему мониторинга безопасности сигнального трафика и обнаружения вторжений, чтобы вовремя выявлять попытки атак и иметь возможность оперативно заблокировать вредоносный узел.

Кстати говоря, с последними двумя задачами отлично справляется система обнаружения и реагирования на вторжения PT Telecom Attack Discovery.

Наши исследования по теме безопасности сетей SS7:

• SS7 vulnerabilities and attack exposure report, 2018
• Primary Security Threats for SS7 Cellular Networks 2016

Автор: Сергей Пузанков, эксперт по безопасности телеком-операторов, Positive Technologies