Практические примеры атак внутри GSM сети / Хабр

Что можно сделать

Большинство недостатков, позволяющих определить местоположение абонента и украсть данные, могут быть устранены изменением конфигурации сетевого оборудования. Необходимо как минимум установить запрет на обработку сообщений AnyTimeInterrogation и SendIMSI на HLR.

Архитектурные проблемы протоколов и систем решаются путем блокирования нежелательных сообщений. В первую очередь следует обратить внимание на SendRoutingInfoForSM, SendIMSI, SendRoutungInfoForLCS, SendRoutingInfo. Фильтрация поможет избежать рисков, связанных с отказом в обслуживании, перехватом SMS-сообщений, перенаправлением вызовов, прослушиванием звонков, изменением профиля абонента.

Однако не все указанные сообщения сети SS7 могут оказаться опасными. Необходимо реализовать фильтрацию таким образом, чтобы отсекались только нежелательные сообщения, используемые в атаках. Для этого рекомендуется внедрять дополнительные средства защиты, например, системы обнаружения вторжений.

Dos-атака на абонента

Чтобы сделать абонентское оборудование (телефон, модем, GSM-сигнализацию или датчик) недоступным для входящих транзакций, злоумышленник может осуществлять целенаправленные атаки на абонентов мобильной сети. Большинство исследованных нами сетей SS7 уязвимы для DoS-атак (успешны были 80%).

Во всех случаях применялся метод UpdateLocation; для атаки нужно знать идентификатор IMSI абонента. В сеть оператора отправляется сообщение UpdateLocation, информируя HLR, что абонент произвел регистрацию (в поддельной сети). После этого входящие вызовы на абонента маршрутизируются на адрес, указанный при атаке.

Mitm во время gprs-сёрфинга

Когда абонент попадает в нашу сеть, он становится недоступен для внешних звонков и сам никуда позвонить не может (обычно, см. ниже по тексту исключения).

Однако мы можем предоставить ему доступ в интернет при помощи GPRS/EDGE сервисов пакетных данных. Поскольку машина, предоставляющая доступ в Интерент для абонента находится полностью под нашим контролем, мы можем делать с TCP/IP трафиком все, что угодно.

Проще всего нам будет работать с данным участком

Читайте про операторов:  Как оплатить Мегафон бонусами Спасибо от Сбербанка

Напоминаю, что скорость передачи данных в GPRS очень низкая, в то же время современные телефоны при получении доступа к сети тут же начинают процесс проверки обновлений, почты, новостей. Все ваши приложения начинают обновлять свои данные. Это может привести к тому, что абоненту будет затруднительно открыть что-то в браузере, так как, помимо низкой пропускной способности, могут происходить потери пакетов, если вы используете такое непроизводительное оборудование как CalypsoBTS.

Поэтому при планировании MITM-атаки нужно иметь это в виду. Можно, например, заблокировать через iptables доступ ко всему, кроме ресурса, взаимодействие жертвы с которым нам интересно.

Далее при помощи фреймворка MITMf можно проводить непосредственно атаки.

Radio resource lcs (location service) protocol


RRLP — GSM протокол, позволяющий сети запросить текущие координаты абонента.

RRLP не требует аутентификации и согласия пользователя на предоставление этих данных.

Мы, через OsmoNITB, тоже можем отправить RRLP запрос захваченному абоненту.

Если используется CalypsoBTS, то вы находитесь рядом с абонентом и это вряд ли может быть полезно, однако при использовании более мощных трансиверов RRLP позволяет выполнять слежку за абонентом.

К сожалению у меня не было достаточно времени это попробовать, но я полагаю, что нужно использовать модуль osmocom-lcs. При активации режима запросов RRLP в VTY OsmoNITB, RRLP запросы будут отправляться абоненту каждый раз, когда ему выделяется канал.

Активировать RRLP можно так

telnet localhost 4242
en
conf t
network
rrlp mode РЕЖИМ
write file
end

Запросы и ответы можно видеть в Wireshark. В данном случае мой телефон вернул Not Supported на RRLP запрос

Спасибо axilirator за информацию.

Существуют и другие атаки, которым подвержены абоненты 2G сетей и большинство сотовых телефонов до сих пор поддерживает GSM. Чтобы не стать жертвой подобного рода атак, будьте внимательны при получении подозрительных звонков, CMC или при сёрфинге с мобильного телефона, а так же обращайте внимание на значки 3G/LTE, которые обычно указывают на то, с сетью какого поколения вы в данный момент работаете.

Захват абонента в нашу gsm сеть

2G/3G/4G

Сразу рассмотрим два варианта:

  1. Целевой абонент использует старый телефон без поддержки 3G/4G.
  2. Целевой абонент использует современный смартфон, поддерживающий 4G.

Во втором случае смартфон будет сперва искать 4G сети, затем 3G сети и только потом 2G сети. Таким образом, если вы находитесь в месте, где есть хороший сигнал от базовой станции 3G/4G домашнего оператора абонента, то он не подключится к вашей 2G базовой станции.

Чтобы решить эту проблему нужно либо создать помехи на 3G/4G частотах оператора, либо оказаться вместе с абонентом в локации, где нет покрытия 3G или 4G. Вопреки сомнениям многих людей, таким мест очень много до сих пор.

В первом же случае, когда целевой телефон не поддерживает 3G/4G все становится проще и наша базовая станция должна просто находиться в зоне досягаемости целевого телефона и иметь достаточно мощный сигнал.

MCC/MNC

Чтобы телефон автоматически подключился к нашей GSM сети, она должна являться домашней для SIM-карты, установленном в целевом телефоне.

Домашняя сеть определяется тремя параметрами:

Все эти значения не являются тайной и вы можете легко узнать их даже из Википедии.

Эти параметры транслируются базовой станции в SI (System Information) сообщениях на логическом канале BCCH (Таймслот 0).

Сейчас у нас в настройках OpenBSC указано следующее:

network country code 1
mobile network code 1
short name MyNet
long name MyNet

Узнать MCC и MNC абонента можно исходя из номера телефона. Есть множество сайтов с этой информацией, например

. Узнать имя на латинице сети тоже не составит труда. Обратите внимание, что имя чувствительно к регистру.

В домашних условиях, вам будет так же необходимо изменить auth-policy на closed, чтобы только Ваши телефоны имел право подключаться к сети с реально существующими MCC и MNC.

Для этого добавьте абонентов в HLR с IMSI своих личных SIM-карт, если их еще нет в HLR.

telnet localhost 4242
en
conf t
subscriber create imsi ВАШ_IMSI_1
subscriber imsi ВАШ_IMSI_1 authorized 1
subscriber create imsi ВАШ_IMSI_2
subscriber imsi ВАШ_IMSI_2 authorized 1
...
write file
end

И измените политику аутентификации

telnet localhost 4242
en
conf t
network
auth policy closed
write file
end

Перезапустите OsmoNITB.

Теперь абоненты, не представленные в HLR, не будут иметь возможности подключиться к вашей сети.

IMEI

IMEI — International Mobile Equipment Identity.

Контроль связи: твой телефон шпионит за тобой

Практические примеры атак внутри GSM сети / Хабр

Цивилизация скатилась во вторую эпоху тёмных веков по кровавой дорожке, что в общем то не удивительно, но со скоростью, какую не мог представить себе даже самый пессимистичный футуролог. Словно только и ждала этого момента. 1 октября Бог пребывал на небесах, индекс Доу-Джонса равнялся 10 140 пунктам, большинство самолётов летало по расписанию. К Хэллоуину все крупные города, от Нью-Йорка до Москвы, смердели под пустынными небесами, и воспоминанием стал уже весь мир, каким был прежде.
Стивен Кинг. «Мобильник». 

То, что давно уже стало обыденном атрибутом, отчасти символом нашей жизни, пару десятков лет мнилось только фантастам, да недалёким гениям (ох, этой фразой мы можем описать 60 % технологий, которые нас окружают). Массовая телефонизация страны состоялось буквально на наших глазах, в одно десятилетие. Принципы работы с сотовым телефоном известны каждому школьнику. Пользоваться телефоном теперь могут и младенцы, благодаря разработкам канадской фирмы. Аппарат называется бебби-фон и состоит из небольшого дисплея и трёх разноцветных кнопок на прочном пластиковом корпусе. Зелёная кнопка запрограммирована на один телефонный номер (чаще всего – номер родителей), жёлтая – отмена, красная, естественно, 911. Ни о каких sms или мобильном интернете речь не идёт. По крайне мере пока. Возможно, ребёнок не знает, как именно устроен бебби-фон, но он прекрасно может им пользоваться. Многие ли из вас кардинально отличаются от нашего метафизического ребёнка? 

Секретные технологии, которые раньше применялись в системах прослушивания вроде американского «Эшелона» или российского СОРМа, теперь вовсю используются коммерческими структурами. Технологии эти потрясают воображение, чего только стоит система угадывания настроения звонящих абонентов. Чтобы оценить настроение абонента, система ориентируется на громкость голоса. Кроме того, происходит автоматическое распознавание речи и поиск ключевых слов и фраз по заданному шаблону.

Новые технологии тем и хороши, что воспользоваться ими может практически каждый, понять – избранные, воспользоваться понятым – бесчисленное множество. И действительно, способов совершения преступлений на основе телефона много, а некоторые из них практически не поддаются выявлению. Например, злоумышленник перехватывает идентифицирующий сигнал чужого телефона и выделяет из него идентификационные номера MIN и ESN. Информация может быть перехвачена при помощи радиосканера либо так называемого сотового кэш-бокса, представляющего собой комбинацию сканнера, компьютера и сотового телефона. Он легко выявляет и запоминает номера MIN и ESN и автоматически перепрограммирует себя на них. Использовав пару MIN/ESN один раз, он стирает её из памяти и выбирает другую. 

Система GSS-ProA – самая лучшая система перехвата и прослушивания GSM непосредственно с радио-эфира из всех доступных в мире на настоящий момент. Ни одна пассивная система перехвата не обладает такими возможностями для перехвата и прослушивания. Систем абсолютно невидима и не поддается обнаружению, обладает высокой производительностью, имеет возможность дальнейшей модернизации, многоканальный перехват сотовых телефонов и записи как информации о разговорах, так и самих разговоров. Система представляет собой не только устройство для перехвата и прослушивания сигналов сети GSM, но также имеет встроенный сложный RF локатор по методу триангуляции определяющий местоположение объекта с точностью до нескольких метров, близкой к GPS. Система GSS-ProA способна перехватывать разговоры по GSM телефонам по всему миру – в сетях 900/1800/1900 МГц. Она перехватывает одновременно сигнал базовой станции и мобильной станции независимо друг от друга. Автоматически или в ручную системой будет произведена запись разговора между двумя телефонами объектов одновременно, а разговор будет сохранен в виде стандартного WAV файла. 

В настоящее время электронный перехват разговоров, ведущихся по сотовому телефону, стал широко распространенным явлением. Так, например, в Канаде, по статистическим данным, от 60% до 80% радиообмена, ведущегося с помощью сотовых телефонов, случайно или преднамеренно, прослушивается посторонними лицами. Электронный
перехват сотовой связи не только легко осуществить, он, к тому же, не требует больших затрат на аппаратуру, и его почти невозможно обнаружить. Мобильные сотовые телефоны, особенно аналоговые, являются самыми уязвимыми аппаратами с точки зрения защиты передаваемой информации. 

Принцип передачи информации такими устройствами основан на излучении в эфир радиосигнала, поэтому любой человек, настроив соответствующее радиоприемное устройство на ту же частоту, может услышать каждое ваше слово. Для этого даже не нужно иметь особо сложной аппаратуры. Разговор, ведущийся с сотового телефона, может быть прослушан с помощью программируемых сканнеров с полосой приема 30 МГц, способных осуществлять поиск в диапазоне 860-890 МГц. Для этой же цели можно использовать и обычные сканнеры после их небольшой модификации, которая подробно описана в интернете (ноющим и всхлипывающим читателям дам универсальный хак сайт, освоив который вы станете киберпреступником всех времён и народов –
google.com). Перехватить разговор можно даже путем медленной перестройки УКВ-тюнера в телевизорах старых моделей в верхней полосе телевизионных каналов (от 67 до 69), а иногда и с помощью обычного радиотюнера. Наконец, такой перехват можно осуществить с помощью персонального компьютера.

Чем круче мобильный телефон, тем больше шпионских функций можно задействовать: визуальное панорамное фотографирование; видеосъёмка и акустический контроль в радиусе до 10 метров; прослушивание всех входящих и исходящих телефонных разговоров, смс и электронной почты; определение местоположение объекта с точностью до несколько метров; дистанционное включение микрофона с расстояния в десятки тысяч километров; дистанционное прослушивание разговоров через микрофон телефона, даже если основная батарея вынута (для современных смарт телефонов).

При развитии технологии мобильной связи и появлением смарт телефонов и коммуникаторов, соединяющих функции телефона и компьютера реализация «специальных» функций или как их называют «полицейских» легла и на операционные системы, которые используются в мобильных технологиях. Все труднее стало производить универсальные высокоскоростные мало потребляющие процессоры для мобильных телефонов, которые реализуют еще дополнительную «полицейскую» функцию. К сожалению, такое значительное перераспределение специальных функций с аппаратной части на программную привела к тому, что опытные программисты стали ее ловко использовать и создали целый ряд так называемых «spy» (шпионских) телефонов на базе серийно выпускаемых мобильных телефонов. 

При таком открытом поле деятельности стало возможным создание не дорогих ложных базовых станций (таких как
«ловушки» IMSI) которые занимаются активацией микрофона на мобильнике с помощью ложных звонков или смс, например, в информации о новой услуге ложного оператора, совсем не примечательной на первый взгляд, может содержаться код активации микрофона мобильника для последующего прослушивания разговора и помещения. Определить, что включился микрофон практически очень сложно и злоумышленник спокойно может слышать и записывать не только разговоры по телефону, но и разговоры в помещении, где находиться мобильный телефон. 

Специальное устройство, называющееся IMSI-catcher (то есть ловец IMSI, уникального идентификатора International Mobile Subscriber Identity, прописанного в SIM-карте), притворяется для находящихся поблизости мобильников настоящей базовой станцией сотовой телефонной сети. Эта дыра в безопасности GSM была внесена в архитектуру системы совершенно умышленно по настоянию спецслужб – для организации перехвата и мониторинга без ведома компаний-операторов мобильной связи. Поэтому, как только мобильный телефон принимает
IMSI-catcher в качестве своей базовой станции, этот аппарат-ретранслятор может деактивировать включенную абонентом функцию шифрования и работать с обычным открытым сигналом, передавая его дальше настоящей базовой станции. Как свидетельствуют знающие люди, в настоящее время на рынке нет ни одного GSM-телефона, который бы активно предупреждал владельца о принудительно отключенной функции шифрования. Зато в продаже хватает ныне аппаратов, у которых функция шифрования в явном виде вообще не реализована.

Трудно ли сделать шпионский телефон самостоятельно? Однозначного ответа нет. Вот
эти ребята заявляют, что ответ положителен и предлагают купить уже готовые телефоны за весьма внушительные деньги. Хотя вот
здесь
просят уже поменьше :). Не хотите запариваться с мобильниками?! Нет ничего проще! Программа FlexiSPY продукт от тайской компании Vervata. Как утверждает производитель, это «первая в мире коммерческая шпионская программа, созданная специально для сотовых телефонов». Теперь человек, играющий в шпиона, может 24 часа в сутки и семь дней в неделю контролировать все аспекты использования данного сотового телефона, причём с любого компьютера, подключённого к интернету. Телефон сам будет регулярно связываться с сервером компании и скидывать на него всю информацию (шпиону нужно будет лишь оплачивать трафик между прослушиваемым телефоном и сервисом, но он будет довольно мал). На дислокацию прослушиваемого телефона по регионам и странам мира ограничений нет: сервис FlexiSPY работает везде. Активировав услугу, можно прослушивать звонки, читать все входящие и исходящие SMS, просматривать call hystory с перечнем полной информации (дата, время, продолжительность звонка, номер абонента), фиксировать выходы в Интернет через GPRS, наконец — дистанционно активировать микрофон этого телефона, даже когда его не используют. Надо ли говорить, что добрые хакеры прогу давно уже раскоммуниздили и выложили где-то на просторах инета :). Ещё немного о прослушивании GSM увидите
здесь.

Если вы не поленитесь и поищете «шпионские» телефоны, то в основном найдёте кучу предложений класса даже не «мультимедийный комбайн», и не «космический корабль», а как полное дерьмо. Стандартный Spy Phone выглядит как обычный телефон, но в отличии от обычного телефона, пользователь имеет возможность предварительно
запрограммировать его на определенный номер который и активирует функции Spy. Программируется телефон очень просто, так же просто как и записать телефон в записную книжку. Причем телефон будет продолжать работать, но как только вы позвоните с номера который вы предварительно запрограммировали, телефон ответит на звонок, причем без звонка, вибрации, и подсветки, так как будто он находится в режиме ожидания. После того как вы положите трубку, телефон продолжит работу в своем обычном режиме. Режим Спая позволяет без включения звонка и активации подсветки ответить на вызов с указанного заранее номера. В устройство включено так же небольшой датчик движения. Для того чтобы воспользоваться функцией подслушивания, достаточно оставить телефон, например, дома, уезжая в отпуск. Если в вашем доме кто-то появится, телефон засечет движение и отправит на ваш номер SMS-сообщение. После этого вам необходимо просто позвонить на свой мобильный шпион, и он ответит, активировав звуковую связь. Радиус действия телефона (его датчиков) составляет приблизительно 10 метров. Так что при желании пользователя можно дистанционно активировать встроенную цифровую камеру, которая начнет делать снимки и отправлять их вам по SMS, MMS или при помощи GPRS-подключения на e-mail. Цена 300 $. И это реально круто?! НЕТ!

Правда, большинство предложений по шпионским телефонам в сети – тотальное кидалово перевозбуждённых сетевыми возможностями кидисов (предупреждаю!!!), а хорошие модернизированные трубки стоят дорого. Выход я нашёл достаточно тривиально, потусовавшись на форумах мобильной модернизации. Как вы уже заметили выше, обычный шпионский телефон не требует возни с паяльником – всё, что надо, уже в нём! А далее следует работа правильными ручками. Модели 2006 года и без тюнинга могут похвастаться многими шпионскими функциями, а после перепрошивки порадуют глаз пользователя удивительными возможностями. Отчасти потому, что рынок перенасыщен и производители из кожи вон лезут, стремясь угодить пользователям. А отчасти и потому, что многие модели одной и той же марки отличаются друг от друга именно ПО, а не железом.

Мой вам большой совет: всё, что продаются можно найти бесплатно (или украсть!) в том числе и
шпионский телефон. Что ж, для примера, рассмотрим мой телефон Motorola. Заходим вот
сюда
и радостно потираем руки – первоосновной пакет для модернизации присутствует. Всё остальное – дело техники. 

На последок, после всего этого ужОса, осталось задать вопрос: можно ли обезопасить собственный телефон? Ведь любой сотовый телефон можно прослушивать. Понятно, что прослушивать всех невозможно ни технических, ни из-за ограниченного количества людских ресурсов, которых можно привлечь к этой задаче. Понятно, что если вы не пособник аль-каиды и не были замечены в террористической деятельности, волноваться вам особо нечего. Понятно, что обезопасить себе можно дорогущими и часто бессмысленными способами, но оно вам надо? Я более чем уверен, что конкуренты вас не прослушивают, любимая (-ый-оё) не подсматривает (-вают), инопланетный разум не следит за каждым вашим передвижением. Более чем уверен. 

А вы?

Мошенничество

В каждой из систем были выявлены недостатки, позволяющие реализовывать какие-либо мошеннические действия со стороны внешнего нарушителя. Примерами таких действий могут служить перенаправление вызовов, перевод денежных средств со счета абонента, изменение профиля абонента.

Мошенничество: доли успешных атак

Большинство атак с целью перенаправления входящих вызовов оказались успешны (94%). Это подтверждает наличие в сетях SS7 существенных проблем, связанных с архитектурой протоколов и систем.

Исходящий вызов удалось перенаправить лишь в 45% случаев. Для перенаправления применялся метод InsertSubscriberData.

Атаки с целью перенаправления входящих вызовов осуществлялись с использованием двух техник — подмены роумингового номера и манипуляции с переадресацией. Подмена роумингового номера осуществляется в момент входящего вызова на атакуемого абонента, который должен быть предварительно зарегистрирован в фальшивой сети.

Манипуляция с переадресацией — несанкционированная установка безусловной переадресации. Все входящие вызовы для абонента будут перенаправляться на указанный номер. Платить за вызовы придется абоненту.

Методы перенаправления входящего вызова (доли успешных атак)

Изменение профиля абонента было возможно в каждой второй атаке, осуществленной методом InsertSubscriberData (54%). Атакующий имеет возможность изменить профиль абонента таким образом, что исходящие вызовы будут осуществляться в обход системы тарификации.

Общие результаты

Из соображений конфиденциальности мы не раскрываем названия компаний, которые участвовали в нашем исследовании. Отметим лишь, что половина исследованных сетей SS7 принадлежат крупнейшим мобильным операторам с числом абонентов более 40 млн.

Объем абонентской базы операторов

Итоговый уровень безопасности сетей SS7 всех исследованных операторов мобильной связи оказался крайне невысок. В 2022 году в отношении операторов связи и их сетей SS7 могли быть реализованы атаки, связанные с утечкой данных абонентов (77% успешных попыток), нарушениями в работе сети (80%) и мошенническими действиями (67%).

Входящие SMS-сообщения можно было перехватить в сетях всех участников исследования. Девять из десяти атак (89%) достигли цели, и это очень плохой результат. Судите сами: SMS-сообщения часто используются в системах двухфакторной аутентификации и для восстановления паролей от различных интернет-сервисов.

Доля успешных атак с целью получения чувствительной информации

Несанкционированный запрос баланса также был возможен почти повсеместно (92% атак). Для этой атаки используется сообщение ProcessUnstructuredSS-Request, в теле которого передается соответствующая USSD-команда.

Голосовые вызовы оказались защищены немного лучше: увенчались успехом только половина атак с целью прослушивания входящих и исходящих звонков. Но и это огромный риск для абонентов. Для перехвата входящих вызовов использовалась техника подмены роумингового номера.

Методы определения местоположения абонента (доли успешных атак)

Определить физическое местоположение абонента получилось во всех сетях, кроме одной. Основные методы — SendRoutingInfo и ProvideSubscriberInfo, причем последний давал результат при каждой второй атаке (53%).

Наиболее ценная информация об абоненте — IMSI. Этот идентификатор нужен для большинства атак. Легче всего оказалось получить его методом SendRoutingInfo.

Методы кражи информации об абоненте (доли успешных атак)

Другой метод определения IMSI — SendRoutingInfoForSM — оказался эффективен в 70% случаев. Данное сообщение используется при входящем SMS-сообщении для запроса маршрутной информации и локализации абонента-получателя. Узнать идентификатор абонента можно было и с помощью команды SendIMSI, но с меньшей вероятностью (25%).

Перенаправление и запись голосовых вызовов

Если жертва попытается позвонить на номер, с которого пришла смс (89001234567) то ее вызов будет переадресован на телефон, контролируемый атакующим.

Чтобы использовать Asterisk для маршрутизации звонков, нужно добавить ключ -M в команду osmo-nitb

-M /tmp/bsc_mncc


И запустить osmo-sip-connector

osmo-sip-connector -c путь_до_конфигурационного_файла

Теперь наши вызовы будут маршрутизироваться через Asterisk, мы можем задать любой dialplan и полностью определить, как будет проходить звонок. Атакующий можете, к примеру, направлять все вызовы абонента на автоответчик, где роботизированный женский голос будет спрашивать у абонента конфиденциальную информацию. Никто не же подумает, что робот может навредить человеку?

Запись звонков можно выполнять при помощи стандартных конструкций Asterisk а файле /etc/extensions.conf — Monitor() и MixMonitor().

Подготовка


Для работы нам понадобится еще один компонент, о котором мы упоминали лишь вскользь ранее —

Мы подключим нашу базовую станцию на основе двух osmocombb-совместимых телефонов к IP АТС Asterisk при помощи этого компонента.

Это позволит нам записывать разговоры абонентов, работающих в нашей сети, а так же перенаправлять их исходящие вызовы на автоответчики и тому подобное.

Установить osmo-sip-connector на Ubuntu 14.04 мне не удалось из-за зависимостей и я решил пойти другим путем и просто установил все компоненты на Debian 9 (32-бита) через Nightly Builds deb-пакеты. В процессе установки пакетов я не получил никаких ошибок и проблем с зависимостями.

Единственное, что я получил некоторые ошибки с texinfo при сборке старого toolchain. Но это легко исправилось правкой в gcc/doc/gcc.texi. Хочу предупредить, что сборку ветки osmocombb jolly/testing нужно проводить при помощи старого toolchain. Даже если вы исправите ошибку компиляции при использовании нового toolchain, вы получите нестабильную работу transceiver/TRX firmware в дальнейшем.

Устанавливаем osmo-sip-connector и asterisk

apt-get install osmo-sip-connector
apt-get install libsofia-sip-ua-glib-dev
apt-get install asterisk

Создаем файл osmo-sip-connector.cfg в вашей директории с другими конфигурационными файлами.

app
mncc
  socket-path /tmp/bsc_mncc
sip
  local 127.0.0.1 5069
  remote 127.0.0.1 5060

Настраиваем asterisk

Очень базовая конфигурация Asterisk может выглядеть так

Добавляем в конец файла /etc/asterisk/sip.conf

[GSM]
type=friend
host=127.0.0.1
dtmfmode=rfc2833
canreinvite=no
allow=all
context=gsmsubscriber
port=5069

Добавляем в конец файла /etc/asterisk/extensions.conf

[gsmsubscriber]
exten=>_XXXXX,1,Dial(SIP/GSM/${EXTEN})
exten=>_XXXXX,n,Playback(vm-nobodyavail)
exten=>_XXXXX,n,HangUp()


Перезапустим asterisk.

Преамбула: привет из 70-x

Разработанная сорок лет назад система SS7 (ОКС-7) имеет определенные недостатки в плане защищенности (например, отсутствуют шифрование и проверка подлинности служебных сообщений). Долгое время это не представляло опасности ни для абонентов, ни для оператора:

сеть SS7 была замкнутой системой, в которую подключались только операторы фиксированной связи. Однако время идет, сеть эволюционировала для поддержки нужд мобильной связи и предоставления дополнительных услуг. В начале 2000-х была предложена спецификация SIGTRAN, позволившая передавать служебную информацию SS7 по IP-сетям. Сигнальная сеть перестала быть изолированной.

Конечно, напрямую попасть в сигнальную сеть не получится, потребуется SS7-шлюз. Но обеспечить к нему доступ не так сложно. Можно получить операторскую лицензии в стране, где на это смотрят сквозь пальцы, или приобрести доступ на черном рынке у действующего оператора.

Существуют способы попасть в сеть через взломанное операторское оборудование, GGSN или фемтосоту. Если среди участников хакерской группы есть технический специалист компании-оператора, то он может выполнять ряд атак с помощью набора легитимных команд или подключить к SS7 свое оборудование.

Атаки через SS7 могут выполняться из любого места на планете, что делает этот метод одним из самых перспективных для нарушителя. Злоумышленнику не надо физически находиться рядом с абонентом, как в случае с поддельной базовой станцией, поэтому вычислить его практически невозможно.

Высокая квалификация также не требуется: в сети доступно множество готовых приложений для работы с SS7. При этом операторы не могут блокировать команды от отдельных узлов, поскольку это оказывает негативное влияние на весь сервис и нарушает принципы функционирования роуминга.

Впервые уязвимости SS7 были публично продемонстрированы в 2008 году: немецкий исследователь Тобиас Энгель показал технику слежки за абонентами мобильных сетей. В 2022 году эксперты Positive Technologies выступили с презентацией «Как подслушать человека на другом конце земного шара» и представили подробный отчет «Уязвимости сетей мобильной связи на основе SS7».

В 2022 году специалисты SR Labs в эфире австралийской программы «60 минут», будучи в Германии, перехватывали SMS-переписку австралийского сенатора Ника Ксенофонта и британского журналиста, а потом наблюдали за передвижениями сенатора в командировке в Токио.

Причины проблем

Большинство атак на сети SS7 были возможны из-за отсутствия проверки реального местоположения абонента. На втором и третьем местах в списке причин — невозможность проверки принадлежности абонента сети и отсутствие фильтрации неиспользуемых сигнальных сообщений. На четвертой позиции — ошибки конфигурации SMS Home Routing.

Среднее число успешных атак в одной сети SS7 (в зависимости от недостатка)

Системы перехвата сотовой связи

Практические примеры атак внутри GSM сети / Хабр
ST181 обеспечивает анализ 2G, 3G и 4G сетей всех операторов сотовой связи под управлением программного обеспечения “ST181 Analyzer”
Система перехвата GSM сигналов IB0401
Система перехвата GSM “IB0401” работает с любым типом кодирования, включая алгоритмы A5/1 и A5/2. Режим работы оффлайн, полностью пассивная система перехвата, дешифровки, обработки и мониторинга GSM сигналов.
Система перехвата GSM сигналов полупассивная IB0402
Обеспечивает быстрый и надежный перехват, а также запрос и создания помех для трафика GSM сигналов. Перехват входящей и исходящей GSM связи, включая формат A5/1 в реальном времени и без поддержки сетевых операторов: Перехват множественных одновременных звонков (дуплекс).
Аппаратно-программный комплекс информационно-технического воздействия в системах сотовой радиосвязи стандарта GSM 900/1800
Обнаружение активных GSM-устройств в зоне действия комплекса в частотных диапазонах EGSM900/DCS1800.
Система мониторинга GSM-сетей с алгоритмом шифрования A5/1 SIM - Phoenix
GSM-мониторингA5/1 иA5/2 в режиме реального времени мониторинг и запись переговоров/SMS наблюдение.
Системы CDMA-мониторинга и дешифрования SIM-ARROW-CDMA
Системы SIM-ARROW-CDMA разработаны для мониторинга и дешифрования информации в сотовых телефонных сетях протокола CDMA.
Системы GSM-мониторинга SIM-ARROW
Системы SIM-ARROW-GSM/DCS разработаны для мониторинга и дешифрования информации в сотовых телефонных сетях GSM-900 и GSM-1800 (опционально GSM 850 и 1900) протокола GSM/DCS.
Практические примеры атак внутри GSM сети / Хабр
Система позволяет осуществлять контроль сотовых телефонов в стандарте AMPS.
Практические примеры атак внутри GSM сети / Хабр
Комплекс контроля сотовой системы связи стандартов AMPS, NAMPS, DAMPS, NMT-450.

Практические примеры атак внутри GSM сети / Хабр
Программно-аппаратный многоканальный комплекс радиоконтроля сигналов сотовой телефонной связи стандарта NMT-450. Комплекс построен на базе специализированного многоканального радиоприемника с высоким динамическим диапазоном и многопроцессорной системой выделения и обработки служебной информации.

Смс-фишинг


Когда делают фишинговые рассылки претворяясь банками или родными, то рассылка происходит с неизвестного абоненту номера, что подозрительно. Когда абонент попадает во враждебную GSM сеть, ему можно отправить СМС с любого номера.

Для отправки СМС нужно лишь сделать следующее:

Подключиться к VTY OsmoNITB и создать абонента от имени которого будет отправлена СМС.

telnet localhost 4242
OpenBSC# en
OpenBSC# subscriber create imsi 123456789012345
OpenBSC# subscriber imsi 123456789012345 extension 89001234567

Где

123456789012345 — IMSI подконтрольно телефона, включенного в сеть атакующего.

89001234567 — Номер телефона, с которого жертва получит СМС.

И отправить СМС можно из того же VTY интерфейса OsmoNITB

OpenBSC# subscriber imsi 987654321987654 sms sender extension 890012345678 send Your bank...

Где 987654321987654 — IMSI телефона жертвы, захваченной в сеть.

Если жертва ответит на СМС, вы получите ответ на подконтрольный телефон. Ответ вы также сможете легко получить просмотрев Wireshark дамп трафика, при этом не имея подконтрольного телефона в сети.

Обратите внимание, что значка роуминга на снимке экрана в этот раз нет, так как используются MCC, MNC и имя домашней сети SIM-карты целевого абонента, и СМС пришла от абонента, занесенного в телефонную книгу, т.е. обнаружить такую атаку невозможно.

Отправка Binary-SMS — еще один вектор. OsmoNITB позволяет отправлять Siltent SMS, но как отправить binary средствами OsmoNITB, я не нашел. На текущий момент можно попробовать использовать что-то такое. Однако этот вектор еще нужно изучать и реализация конкретных атак в каждом случае будет отличаться.

С помощью OsmoNITB можно отправлять бинарные СМС через SMPP интерфейс.Спасибо axilirator за информацию!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *