Специалисты Citizen Lab подготовили доклад, в котором описали, как телекоммуникационная инфраструктура, принадлежащая израильским и швейцарским компаниям, применялась для наблюдения за жителями более десяти государств. В ходе анализа эксперты выявили свыше 500 случаев попыток определения координат в промежутке с ноября 2022 по 2025 год в Таиланде, ЮАР, Норвегии, Бангладеш, Малайзии и других странах.
Эксперты Citizen Lab обнаружили механизм наблюдения за мобильными устройствами через уязвимости в сотовых сетях, представив результаты в отчете под заголовком «Плохое соединение». В материалах расследования упоминаются три оператора, через сети которых регулярно проходил подозрительный трафик.
Citizen Lab представляет собой канадский исследовательский центр, который фокусируется на вопросах кибербезопасности, защиты прав человека и свободы интернета. Организация отслеживает и анализирует кибератаки, цифровое наблюдение и другие угрозы в сфере ИТ, а также способствует повышению безопасности пользователей, о чем CNews. Исследователи центра проводят работу, направленную на выявление случаев цифровых нарушений прав человека, обнаружение уязвимостей в ПО и оборудовании, используемых государственными органами и другими структурами для электронного наблюдения.
В документе подчеркивается, что недостатки в SMS-сообщениях и сигнальных протоколах сотовых сетей дают возможность превращать смартфоны в средства слежки вне зависимости от модели устройства или года его выпуска. Отчет содержит конкретные примеры операций, которые, как полагают исследователи, могли выполняться коммерческими фирмами, специализирующимися на услугах скрытого наблюдения в разных странах.
Одна из описанных операций применяла израильскую технологию геолокации, задействовавшую сети сотовых операторов 019 Mobile и Partner Communications. Обе компании решительно опровергли свою причастность к любым действиям, связанным с отслеживанием.
Еще одна, более изощренная операция была связана со швейцарской компанией, которая упоминалась в расследовании израильской газеты Haaretz в 2023 году. По информации Citizen Lab, эта фирма давала возможность разным структурам, включая Rayzone, выдавать себя за операторов связи и подключаться к устаревшим мобильным сетям через протокол SS7 (в России известный как ОКС-7, то есть основная система сигнализации в сетях второго и третьего поколений 2G/3G). Это позволяло вести наблюдение за пользователями в любой точке мира.
Протокол SS7 изначально создавался для управления телефонными звонками и сообщениями, поддержки международного роуминга и взаимодействия между различными операторами связи. После десятилетия расследований британские регулирующие органы запретили его применение в этих целях, охарактеризовав такую практику как один из главных источников вредоносного трафика в мобильных сетях.
В докладе Citizen Lab отмечается, что современные протоколы сигнализации, например Diameter, используемый в сетях 4G и большинстве сетей 5G, проектировались с гораздо более строгими мерами безопасности. К ним относятся поддержка протокола безопасности транспортного уровня (TLS), шифрование с помощью IPsec и механизмы аутентификации между сетями. Однако, как подчеркивают исследователи из Citizen Lab, на деле операторы связи не внедрили эти защитные функции в полном объеме. Они по-прежнему полагаются на модель доверия, схожую с устаревшим протоколом SS7. Это оставляет критические уязвимости в ИТ-инфраструктуре и дает разработчикам шпионского ПО возможность успешно их использовать.
Согласно отчету Citizen Lab, в период с ноября 2022 по 2025 год было зафиксировано более 500 попыток отслеживания местоположения пользователей в Таиланде, Южной Африке, Норвегии, Бангладеш, Малайзии и ряде других государств.
Расследование началось с конкретного случая слежки за предпринимателем с Ближнего Востока, за чьими передвижениями наблюдали в течение четырех часов. Этот инцидент помог выявить гораздо более масштабную схему.
По данным Citizen Lab, компания от лица своих клиентов обращалась к международной ИТ-системе мобильной связи для определения местоположения целей. Часть запросов передавалась через серверы оператора 019Mobile, инфраструктуру Partner Communications, а также через маршруты, связанные с Exelera Telecom.
Авторы отчета не раскрывают точные источники данных, но указывают на несколько возможных участников событий, включая компанию Cognyte. Как сообщает Haaretz, материнская структура Cognyte — Verint — поставляла продукт SkyLock, основанный на технологии SS7, государственным клиентам, в том числе организациям в Демократической Республике Конго. В документах также упоминаются связи с операторами связи в Таиланде, Малайзии, Индонезии, Вьетнаме и Конго — странах, где ранее были зафиксированы аналогичные случаи геолокационного слежения. В частности, один из операторов, AIS Thailand, фигурирует как источник трафика в рамках одной из выявленных кампаний.
В докладе Citizen Lab отдельный инцидент связывают с работой швейцарской фирмы Fink Telecom Services. Её деятельность была обнародована в 2023 году благодаря совместному расследованию изданий Haaretz и Lighthouse Reports. Согласно имеющейся информации, компания предоставляла организациям, занимающимся слежкой, доступ к протоколу SS7 для направления запросов в мобильные сети под видом легальных операторов связи. В отчёте отмечается, что новая телекоммуникационная инфраструктура часто эксплуатируется так же, как и старые ИТ-системы, а в некоторых случаях обе системы используются вместе.
В отчёте «Плохое соединение» также описывается метод SIMjacking. Используя скрытые SMS-сообщения с определёнными командами, злоумышленники заставляют SIM-карту передавать данные о местоположении устройства без какого-либо уведомления пользователя и без заметных следов на телефоне.
По данным Citizen Lab, с конца 2022 года было зафиксировано более 15 700 таких попыток.
Руководитель службы безопасности 019Mobile Гил Нагар (Gil Nagar) в комментарии Haaretz заявил, что компания является виртуальным оператором (MVNO), не имеет собственной сети и роуминговых соглашений. В CitizenLab допускают возможность подделки идентификационных данных самого оператора.
В компании Partner Communications в комментарии Haaretz заявили, что не имеют отношения к указанной деятельности, и назвали любые попытки связать их имя с подобными операциями ошибочными.
