С какими угрозами связано распространение сетей 5G? Каким образом злоумышленники предпочитают атаковать клиентов телекоммуникационных компаний и самих провайдеров? Анализируем состояние и перспективы борьбы с киберпреступностью в телекоммуникационной отрасли с помощью данных из годового отчета компании Group-IB о развитии высокотехнологичных угроз.
- Введение
- Общая картина высокотехнологичных угроз
- Безопасность сетей 5G
- Атаки на протоколы и маршрутизацию
- Выводы
Введение
Привычка «быть на связи» настолько распространилась, что стало трудно вообразить, как можно было жить и работать без постоянного контакта с Сетью. Регулярно поступают новости о развитии сетей 5G, которые обещают всем абонентам невиданно скоростной интернет.
Если отрасль важна (а где-то и вовсе критически значима), то, разумеется, существенны и угрозы для нее. Чем больше мы все полагаемся на информационные технологии, тем сильнее рискуем пострадать от них же или от их недоступности. Поэтому логично, что тема информационной безопасности в телекоммуникациях вызывает особый интерес.
Для того чтобы оценить ситуацию и возможные ее изменения в будущем, мы воспользуемся отчетом Group-IB «Hi-Tech Crime Trends 2019/2020», авторы которого сформулировали актуальные для мира киберпреступлений тренды, основываясь на данных из собственных расследований Group-IB и результатов реагирования на киберинциденты по всему миру, а также информации, находящейся в открытом доступе. Отчет охватывает вторую половину 2018 года и первую половину 2019-го. Как и в предыдущие годы, аналитики обозначили тенденции развития основных киберугроз и сформулировали выверенные прогнозы по поводу того, к чему нам всем следует готовиться.
Общая картина высокотехнологичных угроз
Прежде чем говорить непосредственно о телекоме и его проблемах, стоит дать обзор всего ландшафта, частью которого они являются.
В целом значительная часть активности злоумышленников в области высокотехнологичных угроз связана с разворачивающимися сегодня кибервойнами и затрагивает интересы целых государств. На передний план выходят преступные группировки, которые предположительно имеют правительственную поддержку. Эти атакующие, помимо прочего, ведут борьбу и друг с другом, хотя одними из их основных целей остаются объекты критически значимой инфраструктуры. Кроме того, ощутимое давление испытывает финансовый сектор, находящийся под прицелом пяти APT-групп, которые с каждым годом расширяют свою географию.
Исследователи из Group-IB обращают внимание на то, что в этом году случился первый в истории военный ответ на кибератаку: израильская армия нанесла ракетный удар по зданию, где якобы находился командный пункт хакеров из группировки «Хамас». Особо можно выделить ряд успешных атак на поставщиков компьютерного оборудования: «заложив мину» в продукцию популярного производителя, можно нанести вред очень большому количеству организаций и индивидуальных пользователей.
На границе между проблемами государственного масштаба и угрозами телекоммуникационной отрасли можно расположить действия, направленные на нарушение стабильности интернета (например, атаки на регистраторов доменных имен и корневые DNS-серверы). В отчете также подчеркивается, что усилия некоторых стран по контролю доступа пользователей к веб-узлам могут снизить отказоустойчивость, и тогда злоумышленникам будет проще отключить соответствующий сегмент Сети или каким-то образом навредить ему. Для самого телекома выделены три основные угрозы: перенаправление трафика средствами протокола BGP (BGP hijacking), проблемы, связанные с распространением сетей 5G, и атаки на инфраструктуру провайдеров посредством уязвимых и никем не обновляемых маршрутизаторов.
В энергетической отрасли киберпреступники чаще всего проникали в изолированные сетевые сегменты путем компрометации обычной ИТ-инфраструктуры предприятия. Логично, что для этого применялись традиционные вредоносные программы и методы. За весь год удалось обнаружить лишь два программных комплекса, способных воздействовать на технологические процессы; впрочем, аналитики отмечают, что в обоих случаях причиной их обнаружения стала ошибка операторов, так что по факту подобных средств может быть больше.
Говоря о финансовом секторе, Group-IB выделяет целевые и нецелевые атаки. В первом сегменте появилась одна новая группировка, работающая по африканским странам, и набрал популярность один новый метод хищения денег. В России ущерб от целевых атак на банки со стороны финансово мотивированных группировок за исследуемый период сократился почти в 14 раз. По мнению экспертов, это значит, что отечественные злоумышленники переключаются на цели за рубежом. В том, что касается нецелевых атак, первенство удерживают социальная инженерия и фишинг, однако меняются технические средства: специалисты заметили рост количества и активности JavaScript-снифферов (JS-sniffers) – вредоносного кода, внедряемого злоумышленниками в сайт жертвы для перехвата вводимых пользователем данных. Банковские троянские программы, наоборот, постепенно выходят из употребления.
В целом складывается впечатление, что угрозы растут иерархически, т.е. покидают уровень рядовых пользователей и даже корпоративный, всё больше переходя в противостояния между политическими и геополитическими сущностями. Впрочем, нужно иметь в виду, что отчет Group-IB, из которого мы берем данные, посвящен высокотехнологичным угрозам. Спектр реальных и потенциальных проблем телекоммуникационной отрасли на этом фоне не выглядит инородно: здесь эксперты тоже говорят о рисках и технологиях глобального масштаба.
Безопасность сетей 5G
Специалисты обращают на мобильные сети пятого поколения особое внимание, потому что эта тема находится на стыке двух крупных факторов риска.
С одной стороны, 5G сейчас — в центре всеобщего интереса. Государства и корпорации стремятся опередить друг друга и ведут борьбу за то, кто именно задаст технологические стандарты. Выгода очевидна: возможность заставить весь рынок играть по своим правилам является весомым призом. Вполне естественно, что ажиотажные события притягивают и злоумышленников, поскольку всё новое и популярное дает доступ к большой аудитории. Пользователей, которые поспешат приобщиться к новой технологии, уже будут ждать киберпреступники, заранее узнавшие о ее уязвимостях.
С другой стороны, сеть пятого поколения отличается от всех предыдущих архитектурно: многие ее возможности реализованы программным, а не аппаратным способом. Опасения экспертов по безопасности связаны именно с этим: мобильная связь превращается в функцию, работающую на обычном сервере в обыкновенном дата-центре. Следовательно, над ней сразу нависает вся совокупность угроз, которой подвержена такая инфраструктура. С долей условности можно сказать так: если раньше, например, для перехвата трафика требовалась радиостанция, то теперь возникают перспективы обойтись вредоносной программой.
Можно выделить, в частности, технологию для логического разделения сетей (Network Slicing). В мобильной связи пятого поколения существует инструментарий, позволяющий «нарезать» единый пул сетевых адресов на подмножества. Если допустить, что злоумышленник получает доступ к этому пулу, то под угрозой оказываются все логические сегменты (каждый из которых может принадлежать разным компаниям). Фронт потенциальной атаки резко расширяется, и в итоге скомпрометированной может оказаться вся инфраструктура.
Неудивительно, что за последний год появилось несколько научных и экспертных исследований об изъянах безопасности 5G. Коллективы из разных стран мира описали потенциальные атаки разной степени сложности. В частности, удалось обнаружить проблемы с протоколом безопасности AKA (Authentication and Key Agreement), выявить уязвимости в стандартах передачи данных LTE, позволяющие потенциальному злоумышленнику перехватывать звонки жертвы и следить за ней, а также найти способ связать международный мобильный идентификатор IMSI с конкретным телефонным номером. Наиболее опасной атакой можно назвать метод ToRPEDO (TRacking via Paging mEssage DistributiOn), который дает возможность подделывать пейджинговые сообщения и устраивать атаки типа «отказ в обслуживании» (DoS).
В целом выводы Group-IB таковы: распространение сетей пятого поколения приведет не столько к появлению новых угроз, сколько к повышению масштаба уже известных. Например, высокоскоростная передача данных в сочетании с распространением слабо защищенных устройств позволит проводить невиданно мощные DDoS-атаки. IoT-гаджеты дадут киберпреступникам новые возможности для запутывания следов: действуя через взломанное умное устройство, злоумышленник эффективно скроет свое местонахождение. Не обойдется и без «классики» в виде вредоносных программ, которые будут распространяться через скомпрометированные устройства.
Атаки на протоколы и маршрутизацию
Одной из основных телекоммуникационных угроз, которую аналитики Group-IB рассматривают в нескольких частях отчета, являются манипуляции с трафиком за счет подмены таблиц маршрутизации. Протокол BGP, позволяющий выполнять соединения самым коротким и эффективным путем из возможных, основан на следующем допущении: предполагается, что автономные системы сообщают корректную информацию о тех IP-префиксах, которые им принадлежат. Если злоумышленник получает контроль над роутером, стоящим на границе такой автономной системы и анонсирующим префиксы, то он тем самым приобретает возможность исказить маршрутизацию. В результате трафик пользователей, работающих с определенным сайтом, пойдет через оборудование, которое принадлежит злоумышленникам.
В отчете перечислены и описаны некоторые инциденты такого рода: перехват трафика китайским провайдером China Telecom, подозрительная активность португальского поставщика услуг интернета Bitcanal, который был впоследствии отключен от международного транзита данных, попытка атаки на публичные DNS-серверы Тайваня, которая также выполнялась через манипуляции с BGP (но работала лишь несколько минут и, похоже, не принесла своим авторам заметного успеха).
Особо отметились поставщики услуг интернета из Юго-Восточной Азии. В течение одной недели в июле 2018 года индонезийская организация Digital Wireless Indonesia и малайзийский провайдер Extreme Broadband несколько раз транслировали фальшивые префиксы для компаний Savvis, Vantiv, Q9 Networks, Mercury Payment Systems и некоторых других. Предполагается, что таким образом киберпреступники хотели перехватить трафик, содержавший финансовые данные и сведения о банковских платежах.
Помимо маршрутизации в интернете, целью злоумышленников в 2019 году был и сотовый протокол SS7 (ОКС-7). Он решает схожие задачи, но применительно к сетям мобильной связи — и имеет, к слову сказать, аналогичный изъян чрезмерного доверия к данным, исходящим от поставщика услуг связи. Если у оператора найдется слабо защищенная часть инфраструктуры, то киберпреступник сможет получить доступ к протоколу и контролировать связь нужного абонента. На практике это обычно выражается в перенаправлении SMS-сообщений с кодами для двухфакторной аутентификации на чужое устройство. Group-IB приводит пример кредитной организации Metro Bank, чьи клиенты в январе 2019 года пострадали от такой схемы, и не исключает, что были и другие подобные инциденты — просто британский банк оказался единственным, кто заявил о происшествии публично.
Хотя, как отмечалось выше, финансово ориентированные троянские программы для всех видов устройств постепенно теряют популярность, это вовсе не значит, что угроз в соответствующей области становится меньше. Злоумышленники активно и охотно работают с банкоматами, платежными шлюзами в интернете, системами обработки денежных переводов и карточных транзакций. Обход двухфакторной аутентификации через несовершенство протоколов связи — лишь один из возможных приемов в этой сфере.
Выводы
Телеком является одной из приоритетных целей для политически мотивированных киберпреступников, которые стремятся использовать высокотехнологичные инструменты для шпионажа и целенаправленных атак. Многие аспекты кибервойны так или иначе связаны с устойчивостью коммуникаций, подлинностью программного обеспечения, надежностью сетевых протоколов.
Увы, большинство вредоносных техник и методов, которые рассматриваются в отчете, неподконтрольны обычному пользователю или бизнесу. Остается надеяться, что технологии и их безопасность будут эволюционировать, закрывая старые бреши и избегая новых. Конечно, заметную роль в этом процессе должны будут сыграть и сами поставщики телекоммуникационных услуг: по крайней мере, повысить безопасность маршрутизаторов и снизить риски манипуляций с трафиком им точно под силу.