Cercetătorii afirmă că firmele de supraveghere exploatează sistemele de telecomunicații pentru a spiona locațiile țintelor

Citizen Lab, o organizație pentru drepturile digitale cu peste un deceniu de experiență în dezvăluirea abuzurilor în materie de supraveghere, a publicat un nou raport care detaliază două campanii avansate de supraveghere ce abuzează de vulnerabilitățile rețelelor globale de telecomunicații pentru a urmări utilizatorii de telefonie mobilă și, în unele cazuri, pentru a transforma cartelele SIM în instrumente de spionaj silențioase, potrivit TechCrunch.

Furnizorii de servicii de supraveghere din spatele acestor campanii, pe care Citizen Lab nu i-a numit, au operat ca firme „fantomă” care se dădeau drept furnizori legitimi de telefonie mobilă și își foloseau accesul la aceste rețele pentru a căuta datele de localizare ale țintelor lor.

Ancheta a început la sfârșitul anului 2024, după ce au fost detectate activități anormale în jurnalele de semnalizare ale firewall-ului, cu date suplimentare furnizate de firma de securitate în telecomunicații Cellusys. Prin analiza traficului de semnalizare, a datelor de rutare și a înregistrărilor infrastructurii de telecomunicații, împreună cu parteneri precum Telenor Linx și P1 Security, cercetătorii au corelat pentru prima dată activitatea de atac din lumea reală cu rețelele operatorilor globali.

Raportul se concentrează pe două grupuri de amenințări, denumite STA1 și STA2, ambele considerate a fi legate de furnizori comerciali de servicii de supraveghere care oferă servicii clienților guvernamentali.

STA1 utilizează protocoale de semnalizare SS7

STA1 este o operațiune de lungă durată, extrem de coordonată, care utilizează atât protocoale de semnalizare SS7 (3G), cât și Diameter (4G) pentru a efectua urmărirea locației. Într-un caz din noiembrie 2024, operațiunea de spionaj a vizat un executiv de profil înalt, trecând prin mai multe identități de operator din diverse țări, inclusiv Cambodgia, Suedia, Italia și Uganda. Atacatorul a alternat în mod repetat între protocoale și tehnici pentru a eluda firewall-urile companiilor de telecomunicații și a extrage date de localizare.

Campania a manipulat, de asemenea, identificatorii de semnalizare și căile de rutare pentru a-și ascunde originea. Infrastructura legată de operatori precum 019Mobile (Israel), Tango Networks UK și Airtel Jersey a apărut ca puncte de intrare sau de tranzit. Citizen Lab observă că aceste rețele au fost probabil abuzate prin accesul unor terți sau prin falsificare de identitate (spoofing), mai degrabă decât prin implicare directă. Telemetria istorică arată o activitate similară care datează cel puțin din 2022, cu sute de încercări de urmărire legate de aceeași infrastructură.

Cercetătorii și experții au avertizat de mult timp că guvernele și producătorii de tehnologie de supraveghere pot exploata vulnerabilitățile din SS7 pentru a geolocaliza telefoanele mobile ale persoanelor, deoarece SS7 nu necesită autentificare sau criptare, lăsând deschisă calea pentru ca operatorii necinstiți să abuzeze de sistem.

STA2 utilizează SIMjacker ce exploatează o funcție SIM mai veche

STA2 utilizează o abordare diferită, combinând atacurile de semnalizare cu exploatarea la nivel de dispozitiv. La începutul anului 2025, cercetătorii au observat un SMS binar care conținea comenzi ascunse SIM Toolkit (STK) concepute pentru a exploata browserul S@T, o funcție SIM mai veche. Acest atac de tip „SIMjacker” permite atacatorilor să recupereze discret date de localizare fără interacțiunea utilizatorului.

SMS-ul rău intenționat utilizează antete specifice, astfel încât este procesat direct de cartela SIM și nu este afișat niciodată utilizatorului. Odată executat, acesta colectează date de la turnurile de telefonie mobilă și le transmite printr-un SMS ascuns către sistemele controlate de atacatori. Lanțul de atac a inclus, de asemenea, sondaje SS7 și interogări Diameter, indicând o supraveghere coordonată pe mai multe niveluri.

Citizen Lab a legat STA2 de o campanie la scară largă care a implicat peste 15.000 de încercări de urmărire a locației începând din 2022. Activitatea se suprapune cu infrastructura și tiparele asociate anterior cu Fink Telecom Services (FTS), cu sediul în Elveția, o firmă legată de operațiuni de supraveghere a telecomunicațiilor în anchete anterioare.

Aceste atacuri nu se bazează pe malware sau compromiterea dispozitivelor, ci exploatează slăbiciunile structurale ale protocoalelor de telecomunicații. SS7 nu are autentificare, în timp ce caracteristicile de securitate Diameter nu sunt adesea aplicate în practică. Acest lucru permite atacatorilor să se dea drept operatori de încredere, să direcționeze interogări rău intenționate prin intermediul furnizorilor legitimi de interconectare și să amestece traficul de supraveghere în activitatea normală de roaming.

Companiile de supraveghere au abuzat accesul la rețelele de telecomunicații pentru a spiona locațiile țintelor

Cele două campanii de spionaj au cel puțin un lucru în comun: ambele au abuzat de accesul la trei furnizori specifici de telecomunicații care au acționat în mod repetat „ca puncte de intrare și tranzit pentru supraveghere în cadrul ecosistemului de telecomunicații”. Acest acces le-a oferit furnizorilor de servicii de supraveghere și clienților lor guvernamentali din spatele campaniilor posibilitatea de a „se ascunde în spatele infrastructurii lor”, după cum au explicat cercetătorii.

Conform raportului, primul este operatorul israelian 019Mobile, despre care cercetătorii au afirmat că a fost utilizat în mai multe tentative de supraveghere. Furnizorul britanic Tango Networks U.K. a fost, de asemenea, utilizat pentru activități de supraveghere pe parcursul mai multor ani, spun cercetătorii.

Al treilea furnizor de telefonie mobilă este Airtel Jersey, un operator din Insula Jersey din Canalul Mânecii, deținut acum de Sure, o companie ale cărei rețele au fost asociate cu campanii de supraveghere anterioare.

Potrivit Citizen Lab, un furnizor de servicii de supraveghere a facilitat campanii de spionaj desfășurate pe mai mulți ani împotriva diferitelor ținte din întreaga lume, folosind infrastructura mai multor furnizori de telefonie mobilă. Acest lucru i-a determinat pe cercetători să concluzioneze că în spatele diverselor campanii se aflau diferiți clienți guvernamentali ai furnizorului de servicii de supraveghere.

„Dovezile arată o operațiune deliberată și bine finanțată, cu o integrare profundă în ecosistemul de semnalizare mobilă”, au scris cercetătorii.

Gary Miller, unul dintre cercetătorii care au investigat aceste atacuri, a declarat pentru TechCrunch că unele indicii indică un „furnizor comercial de informații geografice cu sediul în Israel, cu capacități specializate în telecomunicații”, fără să numească furnizorul de servicii de supraveghere. Se știe că mai multe companii israeliene oferă servicii similare, precum Circles (achiziționată ulterior de producătorul de spyware NSO Group), Cognyte și Rayzone.

Citizen Lab avertizează că ecosistemul global de telecomunicații rămâne vulnerabil din cauza dependenței sale de interconectări bazate pe încredere și a supravegherii slabe a accesului terților. Fără controale de validare mai puternice, protecții îmbunătățite ale firewall-ului și reglementări mai stricte, aceste rețele vor continua să permită supravegherea secretă la scară globală.