Mellékleteink: HUP | Gamekapocs
Keres
Komoly security line-up az idei SYSADMINDAY-en: FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig!

Közel 30 mobilszolgáltatót ért átfogó hackertámadás

Koi Tamás, 2019. június 25. 14:24

Több tucatnyi, zömében európai, ázsiai, afrikai és közel-keleti mobilszolgáltató hálózatába tört be az elmúlt hét évben lényegében ugyanazokkal a módszerekkel egy hackercsoport, derül ki egy a héten publikált tanulmányból. A támadók elsősorban felelős állami beosztású személyekkel kapcsolatos információkra voltak kíváncsiak, de olyan szintű hozzáféréssel rendelkeztek, hogy akár ideiglenesen ki is kapcsolhatták volna az érintett mobilkommunikációs hálózatokat.

A több millió, adott estben akár több tízmillió ügyfél legérzékenyebb személyes adatait kezelő mobilszolgáltatók számára a lehető legsúlyosabb biztonsági incidens, ha a cég hálózatát feltörve illetéktelenek hozzáférnek az általa kezelt gigászi adathalmazhoz - hívásrekordokhoz, szöveges üzenetekhez és geolokációs információkhoz. Egy amerikai-izraeli kiberbiztonsági cég most az elmúlt évek egyik legnagyobb betöréssorozatát tárta fel kilenc hónapnyi munkával.

Tucatjával estek el

Több tucatnyi, pontosan meg nem nevezett európai, ázsiai, afrikai és közel-keleti mobilszolgáltató hálózatát érte átfogó hackertámadás az elmúlt hét évben, állítja a Cybereason, mely szerint a támadásokat minden esetben ugyanazzal a rendkívül kifinomult módszerrel és eszközökkel hajtották végre, többnyire banális biztonsági hibákat kihasználva. A bostoni székhelyű cég szerint a támadók olyan szintű hozzáférést szereztek az érintett szolgáltatók hálózatában, melyek az adatok kiolvasása mellett akár azt is lehetővé teszi, hogy a hackerek távolról leállítsák a maghálózatot, ezzel lényegében kiiktatva az egész mobilhálózatot.

Az Operation Softcellnek nevezett támadás során a pontosan meg nem nevezett hackercsoport több tízmillió előfizető több száz gigabájtnyi személyes adatához férhetett hozzá, ugyanakkor a több hónapig tartó kutatómunka eredményeként kiderült, hogy valójában kevesebb, mint száz kiemelt célpont érdekelte a támadókat - a Cybereason szakértői szerint ez a fajta fókuszálás már önmagában azt sejteti, hogy valamilyen kormányzati háttérrel rendelkező csoport áll a háttérben, a szervezett bűnözésnek ugyanis nem ennyire kifinomultak a módszerei és nem rendelkeznek akkora erőforrással, amekkora egy ilyen szintű átfogó támadás lefolytatására alkalmassá tesz egy szervezetet.

A támadások alapjául egyébként ezúttal is a távközlési szolgáltatók által üzemeltetett IT-infrastruktúra hanyag vagy nem megfelelő (kiber)biztonsági védvonalai szolgáltak: a támadók többnyire banális biztonsági réseken keresztül, régóta befoltozatlan biztonsági hibákat kihasználva jutottak be a rendszerekbe. A hackerek ezt követően a legtöbbször újonnan létrehozott, emelt jogosultságú fiókokkal lényegében észrevétlenül "beépültek" a rendszerbe, így azt követően is aktívak tudtak maradni, miután a biztonsági hibákat a szolgáltatók - vagy beszállítóik - észrevették és befoltozták.

A betörésnek többek közt éppen e jellege miatt a támadók jelenleg is aktívak lehetnek, illetve koránt sem biztos, hogy nem találnak újabb áldozatul esett szolgáltatókat a szakemberek. A biztonsági cég szerint azok a célpontok, akiknek az adataihoz az Operation Softcell során hozzáfértek, lényegében sehogy nem tudnak védekezni, hiszen eleve nem is tudnak arról, hogy támadás érte őket, illetve mivel az adatgyűjtést nem a készülékre telepített rosszindulatú kód végzi, ezért a legbiztonságosabb mobilok sem jelentenek védelmet.

A biztonsági szakértők bár nem neveztek meg konkrét forrást, a támadás módja, az ahhoz használt kódrészletek és szerverek arra utalnak, hogy a támadás az APT10 nevű kínai elit hackercsoporthoz köthető, a Cybereason szerint ugyanakkor az sem zárható ki, hogy a támadóknak valójában semmi közük Kínához, és pusztán azt a látszatot kívánják kelteni, hogy a betörések valamilyen szálon kötődnek az ázsiai országhoz.

Tökéletes időzítés

Az Operation Softcell részleteit mindenesetre a lehető legjobb időzítéssel hozták nyilvánosságra ahhoz, hogy ismételten ráirányítsák a figyelmet a magáncégek és állami szervezetek által használt telekommunikációs hálózatok sebezhetőségei által jelentette veszélyekre. Az Egyesült Államok legalábbis minden lehetséges fórumon igyekszik hangsúlyozni, hogy a telekommunikációs infrastruktúrák, különösen a jelenleg épülőfélben lévő 5G-s mobilhálózatok üzemeltetőit a jövőben egyre többször és egyre szofisztikáltabb módszerekkel fogják támadni akár információszerzési, akár szabotázs célokkal.

Bár az USA szerint a veszélyt gyakorlatilag egyedül Kína, illetve az ázsiai országban üzemelő eszközgyártók (azok közül is elsősorban a Huawei) berendezései jelentik, az európai álláspont ennél jóval árnyaltabbnak tűnik: Bár a fokozott kitettség tényét, illetve az abban rejlő potenciális veszélyeket az EU is elismeri, az Egyesült Államok európai szövetségesei az eddigi álláspontok alapján inkább abban hisznek, hogy ez ellen átfogó, minden beszállítóra vonatkozó szigorú(bb) biztonsági előírásokkal lehet csak hatékonyan védekezni.

FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig: Veres-Szentkirályi András (Silent Signal), Balázs Zoli (MRG Effitas), Marosi-Bauer Attila (Hacktivity) és sokan mások. A standupot Felméri tolja.