Araştırmacılar, saldırganların SS7 korumalarını atlamalarının yeni bir yolunu ortaya çıkardıkça mobil ağlar yeni bir siber güvenlik baş ağrısıyla karşı karşıya. “İyi, Kötü ve Kodlama” başlıklı Enea Tehdit İstihbaratı tarafından ayrıntılı olarak açıklanan araştırma, saldırganların güvenliği atlamak ve tespit edilmeden istismarları gerçekleştirmek için kodlama yöntemlerini nasıl kullandıklarını açıklıyor.
SS7 veya sinyal sistemi 7, mobil operatörlerin çağrıları bağlamasına, kısa mesaj göndermesine ve ağlar arasında dolaşımı yönetmesine olanak tanıyan onlarca yıllık protokoldür. Küresel telekomünikasyonların temelini oluştururken, asla modern güvenlik göz önünde bulundurularak tasarlanmamıştır.
SS7 trafiğini yama ve izleme çabalarına rağmen, saldırganlar güvenlik açıklarından yararlanmanın yollarını bulmaya devam ediyor. ENEA’nın bulguları, siber suçlulara iletişimi engelleme veya kötü amaçlı faaliyetler yürütme şansı veren standart algılama tekniklerini atlamak için kodlamanın nasıl kullanılabileceğini göstermektedir.
Araştırmacılara göre, asıl sorun dikkat çekmeden saldırının nasıl olabileceğidir. Örneğin, mesajların kodlanma şeklini ayarlayarak, kötü amaçlı trafik mevcut SS7 güvenlik duvarlarına ve izleme araçlarına zararsız görünebilir. Uygulamada, bu, şüpheli etkinliğin anında alarmlar yükseltmeden geçebileceği, operatörleri veri müdahalesi, çağrı yeniden yönlendirme ve konum izleme gibi tehditlere maruz bırakarak bırakabileceği anlamına gelir.
Sömürü kanıtı
ENEA’nın araştırmacıları, bir gözetim satıcısının bu tam kodlama tekniğini vahşi doğada zaten kullandığına dair kanıt buldular. İlk olarak 2024’ün sonlarında ortaya çıkan saldırı, belirli operatörlerden mobil abone konumu verileri istemek için kullanıldı.
Araştırmacılara göre, saldırganlar, spesifik sinyal mesajlarının nasıl biçimlendirildiğini ayarlayarak saptanma sistemlerinden anahtar alanları gizleyebildiler ve isteğinin engellenmeden veya işaretlenmeden geçmesine izin verdiler.
“Saldırıların kaynağı, yıllardır izlediğimiz bir gözetim şirketiyle eşleşti ve bunun onlar tarafından tanımlandığına ve kullanıldığına inanıyoruz,“ Şirket dedi. “Genel bir protokol güvenlik açığı olmaktan ziyade, başarısı satıcı/yazılıma özgü olduğu için bu saldırı yönteminin dünya çapında ne kadar başarılı olduğu hakkında herhangi bir bilgimiz yok, ancak bir süitin bir parçası olarak kullanılması, bir miktar değeri olduğunu gösteriyor.“
ENEA’nın araştırmacıları, SS7, çap ve 5G sinyali kazanç alanı gibi yeni teknolojiler olsa bile, SS7’nin dolaşım ve birlikte çalışabilirlik için yaygın olarak kullanıldığı için sorunun devam ettiği konusunda uyarıyor. SS7’yi tamamen terk etmek çoğu mobil operatör için bir seçenek değildir, bu nedenle ağ savunucuları bu tehditleri azaltmak için farklı bir yaklaşım benimsemelidir.
Şirket, operatörlere düzensiz kodlama kalıplarını izlemelerini, sinyal duvarlarını güçlendirmelerini ve bypass girişimlerini erken tespit etmek için tehdit istihbaratını davranışsal analitikle birleştirmelerini tavsiye ediyor.