הערכה: מתקפת SS7 נגד פעילים בעולם הקריפטו הישראלי
כ-20 אנשי עסקים מתחום הקריפטו, כולם מנויי פרטנר, נפלו קורבן למתקפה שהצליחה ליירט להם הודעות SMS. פרטנר: "מדובר באירוע שאין לו קשר לרשת של פרטנר"
עמי רוחקס דומבה
| 08/10/2020
bigstock
פרסום של העיתונאי אמיתי זיו חושף כי כ-20 אנשי עסקים הפעילים בעולם הקריפטו הישראלי (מטבעות מוצפנים), נפלו קורבן למתקפה מתחוכמת. כל הקורבנות לקוחות חברת פרטנר. "המתקפה הכושלת כללה רשת טלקום זרה, קבוצת תקיפה מחוכמת שייתכן שפעלה בגיבוי מדינה, חברת סייבר בשם פנדורה, וכפי הנראה גם את השב"כ", נטען בפרסום.
בכירים בתחום הקריפטו
על פי הפרסום, כלל הקורבנות הידועים בכירים בתחום הקריפטו, אנשים בדרגות סמנכ"ל או מנכ"ל שמנהלים פרויקטים של מטבעות דיגיטליים. "המתקפה היתה ממוקדת. בהרבה מהמקרים פרצו להם לטלגרם, אבל היו גם פריצות לג'ימייל וליאהו מייל. מה שהיה משותף לכל ההשתלטויות, הוא שאימות המשתמש נעשה באמצעות SMS. מאפיין נוסף של כל הקורבנות הוא שכולם היו לקוחות ברשת פרטנר", כותבים בפרסום.
על פי הערכה בפרסום, מדובר במתקפה המנצלת את פרוטוקול האיתות SS7 המאפשר קישוריות בין ספקי סלולר בעולם לאלו בארץ. "מישהו — כנראה ממדינה זרה — הגיע למתג בחברת סלולר בינלאומית כלשהי, שכפי הנראה נפרץ ושימש להונאה בישראל, וייתכן שבמדינות נוספות. הוא הצליח לגנוב הודעות SMS של לקוחות פרטנר וכך לפרוץ לחשבונות אונליין שונים", כותבים בפרסום. בחקירה מעורבת גם המשטרה ומערך הסייבר.
מפרטנר נמסר בתגובה: "מדובר באירוע שאין לו קשר לרשת של פרטנר. אירועים כדוגמתו יכולים להתרחש — במיוחד בתקופת הקורונה — ללקוחות בחברות נוספות". עם זאת, בפרטנר כן יודעים לומר כי התוקף השיג את מספר הIMSI של הקורבנות בדרך מסוימת. וכאן זה נהיה מעניין.
איפה הIMSI שלי?
אחת משאלות הבסיס במתקפות כאלו היא כיצד התוקף השיג את הIMSI של הטלפון. זהו מספר חד חד ערכי שמזהה מכשיר טלפון בעולם. ובכן, חלופה אחת היא שרשימה כזו מסתובבת למכירה ברשת האפלה או בפורומים אחרים. חלופה שניה היא שיתוף פעולה של התוקף עם עובדי פרטנר. חלופה שלישית היא התקנת סוס בטלפון. במקרים דנן, מדובר בעשרים טלפונים שונים, מערכות הפעלה שונות, וגרסאות שונות של מערכות הפעלה. ההסבתרות שלתוקף אחד היו סוסים בשביל כלל האופציות - אפשרית, אך קטנה מאד.
חלופה רביעית, וזו עם הסתברות גבוהה היא שאילתא דרך רשת הסלולר. כיצד זה נעשה? ובכן, תוקף עם גישה לספק סלולר בחו"ל יכול לבצע שאילתות לגילוי הIMSI של ישראלים. כולל שאילתות לאיכון. בישראל פועלות מספר חברות בתחום זה. יצויין כי סוג זה של מתקפות אינו חדש, אך יחסית נדיר.
ובכן, על מנת ששאילתא כזו תצליח, נדרשים להתקיים מספר תנאים. מאמר של ארגון GSMA מפרט תנאים אלו. המאמר מפרט ארבע שיטות לחלץ IMSI מהרשת. מתוכן, שיטת SendRoutingInfoForSM נחשבת להכי מוצלחת.
"ההודעה SendRoutingInfoForSM נשלחת לקבלת מידע ניתוב הנדרש למסירת הודעת SMS נכנסת. כדי לא לחשוף IMSI וכתובות של אלמנטים ברשת בפועל, יש להעביר הודעה מהרשת החיצונית ל SMS Home Routing ולהחזיר נתונים וירטואליים. למרות שרוב הרשתות משתמשות ב SMS Home Routing, תצורה שגויה של ציוד רשת גבול (STP / FW) אינה נדירה. כתוצאה מכך הבקשה נשלחת ל- HLR ועוקפת את נתב ה- SMS ומחזירה IMSIs בפועל ונתוני תצורת הרשת", כותבים בפרסום.
"במהלך הניתוח, יותר ממחצית ההתקפות הקשורות לפגמי התצורה של הSMS Home Routing (המאפשרים אחזור נתוני תצורת הרשת) הצליחו. עם זאת, מפעילים צמצמו משמעותית את האפשרות לחשוף כזה מידע." כאמור, בפרטנר טוענים כי המתקפות הללו לא באשמתם. אם זה נכון, וכלל ההגדרות ברשת נכונות, אזי התוקף השיג את הIMSI של הטלפונים בדרך אחרת לפי החלופות שפורטו קודם לכן.
התחזות לרכיב רשת
פרסום של חברת firstpoint-mg מסביר כיצד מתנהלת מתקפה כזו. "התקפות SS7 מנצלות את יכולת האימות של פרוטוקולי תקשורת הפועלים על גבי פרוטוקול SS7 כדי לצותת לתקשורת קולית וטקסטואלית", כותבים בפרסום.
לפי הפרסום, מספיק לפטופ עם לינוקס עם SS7 SDK מחובר לרשת של הספק. "לאחר ההתחברות לרשת SS7, ההאקר יכול למקד מנויים ברשת תוך כדי שהוא גורם לרשת לחשוב שהוא למעשה צומת MSC / VLR (רכיב רשת הנדרש לרישום המנוי ברשת)", כותבים בפרסום. לאחר מכן, התוקף רושם את מכשיר הטלפון אצלו, רכיב הHLR הרשתי משנה את מיקום המנוי לזה של התוקף וברגע שנשלח SMS למנוי, התוקף יכול ליירט אותו.
לסיכום, החקירה בעיצומה, שב"כ מעורב, וכנראה גם המשטרה והמערך. פרטנר טוענים שאצלם הכל תקין, ושהתוקף השיג את מספרי הIMSI של הקורבנות בצורה אחרת שלא דרך שאילתא לרשת שלהם. בשלב זה לא ברור האם המתקפה כללה יותר מ20 הקורבנות הידועים, והאם יש קורבנות גם ממפעילים אחרים בישראל.
כ-20 אנשי עסקים מתחום הקריפטו, כולם מנויי פרטנר, נפלו קורבן למתקפה שהצליחה ליירט להם הודעות SMS. פרטנר: "מדובר באירוע שאין לו קשר לרשת של פרטנר"
bigstock
פרסום של העיתונאי אמיתי זיו חושף כי כ-20 אנשי עסקים הפעילים בעולם הקריפטו הישראלי (מטבעות מוצפנים), נפלו קורבן למתקפה מתחוכמת. כל הקורבנות לקוחות חברת פרטנר. "המתקפה הכושלת כללה רשת טלקום זרה, קבוצת תקיפה מחוכמת שייתכן שפעלה בגיבוי מדינה, חברת סייבר בשם פנדורה, וכפי הנראה גם את השב"כ", נטען בפרסום.
בכירים בתחום הקריפטו
על פי הפרסום, כלל הקורבנות הידועים בכירים בתחום הקריפטו, אנשים בדרגות סמנכ"ל או מנכ"ל שמנהלים פרויקטים של מטבעות דיגיטליים. "המתקפה היתה ממוקדת. בהרבה מהמקרים פרצו להם לטלגרם, אבל היו גם פריצות לג'ימייל וליאהו מייל. מה שהיה משותף לכל ההשתלטויות, הוא שאימות המשתמש נעשה באמצעות SMS. מאפיין נוסף של כל הקורבנות הוא שכולם היו לקוחות ברשת פרטנר", כותבים בפרסום.
על פי הערכה בפרסום, מדובר במתקפה המנצלת את פרוטוקול האיתות SS7 המאפשר קישוריות בין ספקי סלולר בעולם לאלו בארץ. "מישהו — כנראה ממדינה זרה — הגיע למתג בחברת סלולר בינלאומית כלשהי, שכפי הנראה נפרץ ושימש להונאה בישראל, וייתכן שבמדינות נוספות. הוא הצליח לגנוב הודעות SMS של לקוחות פרטנר וכך לפרוץ לחשבונות אונליין שונים", כותבים בפרסום. בחקירה מעורבת גם המשטרה ומערך הסייבר.
מפרטנר נמסר בתגובה: "מדובר באירוע שאין לו קשר לרשת של פרטנר. אירועים כדוגמתו יכולים להתרחש — במיוחד בתקופת הקורונה — ללקוחות בחברות נוספות". עם זאת, בפרטנר כן יודעים לומר כי התוקף השיג את מספר הIMSI של הקורבנות בדרך מסוימת. וכאן זה נהיה מעניין.
איפה הIMSI שלי?
אחת משאלות הבסיס במתקפות כאלו היא כיצד התוקף השיג את הIMSI של הטלפון. זהו מספר חד חד ערכי שמזהה מכשיר טלפון בעולם. ובכן, חלופה אחת היא שרשימה כזו מסתובבת למכירה ברשת האפלה או בפורומים אחרים. חלופה שניה היא שיתוף פעולה של התוקף עם עובדי פרטנר. חלופה שלישית היא התקנת סוס בטלפון. במקרים דנן, מדובר בעשרים טלפונים שונים, מערכות הפעלה שונות, וגרסאות שונות של מערכות הפעלה. ההסבתרות שלתוקף אחד היו סוסים בשביל כלל האופציות - אפשרית, אך קטנה מאד.
חלופה רביעית, וזו עם הסתברות גבוהה היא שאילתא דרך רשת הסלולר. כיצד זה נעשה? ובכן, תוקף עם גישה לספק סלולר בחו"ל יכול לבצע שאילתות לגילוי הIMSI של ישראלים. כולל שאילתות לאיכון. בישראל פועלות מספר חברות בתחום זה. יצויין כי סוג זה של מתקפות אינו חדש, אך יחסית נדיר.
ובכן, על מנת ששאילתא כזו תצליח, נדרשים להתקיים מספר תנאים. מאמר של ארגון GSMA מפרט תנאים אלו. המאמר מפרט ארבע שיטות לחלץ IMSI מהרשת. מתוכן, שיטת SendRoutingInfoForSM נחשבת להכי מוצלחת.
"ההודעה SendRoutingInfoForSM נשלחת לקבלת מידע ניתוב הנדרש למסירת הודעת SMS נכנסת. כדי לא לחשוף IMSI וכתובות של אלמנטים ברשת בפועל, יש להעביר הודעה מהרשת החיצונית ל SMS Home Routing ולהחזיר נתונים וירטואליים. למרות שרוב הרשתות משתמשות ב SMS Home Routing, תצורה שגויה של ציוד רשת גבול (STP / FW) אינה נדירה. כתוצאה מכך הבקשה נשלחת ל- HLR ועוקפת את נתב ה- SMS ומחזירה IMSIs בפועל ונתוני תצורת הרשת", כותבים בפרסום.
"במהלך הניתוח, יותר ממחצית ההתקפות הקשורות לפגמי התצורה של הSMS Home Routing (המאפשרים אחזור נתוני תצורת הרשת) הצליחו. עם זאת, מפעילים צמצמו משמעותית את האפשרות לחשוף כזה מידע." כאמור, בפרטנר טוענים כי המתקפות הללו לא באשמתם. אם זה נכון, וכלל ההגדרות ברשת נכונות, אזי התוקף השיג את הIMSI של הטלפונים בדרך אחרת לפי החלופות שפורטו קודם לכן.
התחזות לרכיב רשת
פרסום של חברת firstpoint-mg מסביר כיצד מתנהלת מתקפה כזו. "התקפות SS7 מנצלות את יכולת האימות של פרוטוקולי תקשורת הפועלים על גבי פרוטוקול SS7 כדי לצותת לתקשורת קולית וטקסטואלית", כותבים בפרסום.
לפי הפרסום, מספיק לפטופ עם לינוקס עם SS7 SDK מחובר לרשת של הספק. "לאחר ההתחברות לרשת SS7, ההאקר יכול למקד מנויים ברשת תוך כדי שהוא גורם לרשת לחשוב שהוא למעשה צומת MSC / VLR (רכיב רשת הנדרש לרישום המנוי ברשת)", כותבים בפרסום. לאחר מכן, התוקף רושם את מכשיר הטלפון אצלו, רכיב הHLR הרשתי משנה את מיקום המנוי לזה של התוקף וברגע שנשלח SMS למנוי, התוקף יכול ליירט אותו.
לסיכום, החקירה בעיצומה, שב"כ מעורב, וכנראה גם המשטרה והמערך. פרטנר טוענים שאצלם הכל תקין, ושהתוקף השיג את מספרי הIMSI של הקורבנות בצורה אחרת שלא דרך שאילתא לרשת שלהם. בשלב זה לא ברור האם המתקפה כללה יותר מ20 הקורבנות הידועים, והאם יש קורבנות גם ממפעילים אחרים בישראל.
