O ataque do Simjacker abusa das tecnologias STK e S @ T Browser instaladas em alguns cartões SIM.

Ataque do Simjacker

Os pesquisadores de segurança divulgaram hoje um método de ataque baseado em SMS sendo abusado no mundo real por um fornecedor de vigilância para rastrear e monitorar indivíduos.

“Estamos bastante confiantes de que essa exploração foi desenvolvida por uma empresa privada específica que trabalha com governos para monitorar indivíduos”, disseram pesquisadores de segurança da AdaptiveMobile Security.

“Acreditamos que essa vulnerabilidade tenha sido explorada há pelo menos dois anos por um agente de ameaças altamente sofisticado em vários países, principalmente para fins de vigilância”.

Os pesquisadores descreveram esse ataque como “um enorme salto em complexidade e sofisticação” em comparação com ataques vistos anteriormente em redes móveis e “uma escalada considerável no conjunto de habilidades e habilidades dos invasores”.

COMO O SIMJACKER FUNCIONA

O Simjacker começa com um invasor usando um smartphone, um modem GSM ou qualquer serviço A2P (aplicativo a pessoa) para enviar uma mensagem SMS para o número de telefone da vítima.

Essas mensagens SMS contêm instruções ocultas do SIM Toolkit (STK) suportadas pelo S @ T Browser de um dispositivo, um aplicativo que reside no cartão SIM, e não no telefone.

O navegador S @ T e as instruções STK são uma tecnologia antiga suportada em algumas redes móveis e seus cartões SIM. Eles podem ser usados ​​para acionar ações em um dispositivo, como iniciar navegadores, reproduzir sons ou exibir pop-ups. Na velhice das redes móveis, as operadoras usavam esses protocolos para enviar aos usuários ofertas promocionais ou fornecer informações de cobrança.

Mas a AdaptiveMobile disse que os ataques do Simjacker observaram violar esse mecanismo para instruir os telefones das vítimas a entregarem dados de localização e códigos IMEI, que o cartão SIM enviaria posteriormente por uma mensagem SMS para um dispositivo de terceiros, onde um invasor registraria a vítima. localização.

simjacker-attack-wild.jpg
Imagem: AdaptiveMobile Security

Para piorar a situação, o ataque do Simjacker é completamente silencioso. As vítimas não veem nenhuma mensagem SMS dentro de suas caixas de entrada ou de saída. Isso permite que os atores de ameaças bombardeiem continuamente as vítimas com mensagens SMS e acompanhem sua localização à medida que avançam ao longo do dia, semana ou mês.

Além disso, como o Simjack explora uma tecnologia que reside no cartão SIM, o ataque também funciona independentemente do tipo de dispositivo do usuário.

“Observamos dispositivos de quase todos os fabricantes sendo direcionados com sucesso para recuperar localizações: Apple, ZTE, Motorola, Samsung, Google, Huawei e até dispositivos IoT com cartões SIM”, disseram os pesquisadores.

A única boa notícia é que o ataque não depende de mensagens SMS regulares, mas de um código binário mais complexo, entregue como SMS, o que significa que os operadores de rede devem poder configurar seus equipamentos para bloquear esses dados que atravessam suas redes e chegam aos dispositivos clientes. .

ATAQUES DO SIMJACKER ATIVO DETECTADOS

Como o AdaptiveMobile não compartilhou o nome da empresa que está executando esses ataques, não está claro se essa vulnerabilidade está sendo usada para rastrear criminosos ou terroristas, ou abusada para rastrear dissidentes, jornalistas ou oponentes políticos.

No entanto, a AdaptiveMobile disse que os ataques do Simjacker estão ocorrendo diariamente, em grandes números.

Na maioria dos casos, os números de telefone são rastreados algumas vezes ao dia, por longos períodos, em vez de várias vezes ao dia.

No entanto, os pesquisadores disseram que alguns números de telefone foram rastreados centenas de vezes durante um período de 7 dias, sugerindo que pertenciam a alvos de alto valor.

simjacker-vítimas.png
Imagem: AdaptiveMobile Security

“Esses padrões e o número de rastreamento indicam que não é uma operação de vigilância em massa, mas projetada para rastrear um grande número de indivíduos para uma variedade de propósitos, com metas e prioridades mudando ao longo do tempo”, disseram os pesquisadores da AdaptiveMobile.

SIMJACKER É O RESULTADO DE MELHORIAS NAS REDES MÓVEIS

O mistério permanece sobre quem desenvolveu esse ataque, mas a AdaptiveMobile disse que a empresa privada era especialista na área.

“Além de produzir esse spyware, a mesma empresa também tem amplo acesso à rede principal do SS7 e do Diameter, pois vimos algumas das mesmas vítimas do Simjacker sendo alvo de ataques pela rede SS7 também, com métodos de ataque do SS7 sendo usados. como um método alternativo quando os ataques do Simjacker não são bem-sucedidos “, disse AdaptiveMobile.

“Acreditamos que o ataque do Simjacker evoluiu como um substituto direto das habilidades perdidas para os atacantes de redes móveis quando as operadoras começaram a proteger sua infraestrutura SS7 e Diameter”, disseram os pesquisadores.

No entanto, enquanto os ataques aos protocolos SS7 e Diameter envolviam profundo conhecimento de protocolos de rede móvel e equipamentos caros, o ataque do Simjacker é muito mais simples e barato. Só é preciso um modem GSM de US $ 10 e o telefone da vítima, disseram os pesquisadores.

PROTOCOLO ANTIGO

A vulnerabilidade no centro do ataque do Simjacker deveria ter sido facilmente evitada se as operadoras de celular tivessem demonstrado alguma restrição quanto ao código que colocam em seus cartões SIM.

“Este software S @ T Browser não é bem conhecido, é bastante antigo e seu objetivo inicial era permitir serviços como obter o saldo da sua conta através do cartão SIM”, disseram os pesquisadores.

“Globalmente, sua função foi substituída principalmente por outras tecnologias, e suas especificações não são atualizadas desde 2009; no entanto, como muitas tecnologias herdadas, ainda é usada enquanto permanece em segundo plano.”

A AdaptiveMobile afirmou ter visto a tecnologia S @ T Browser ativa na rede de operadoras móveis em pelo menos 30 países ao redor do mundo. Segundo esses pesquisadores, esses países têm uma população acumulada de mais de um bilhão, todos expostos a esse método silencioso de vigilância. Segundo uma fonte que conversou com o ZDNet, os países impactados estão na região MENA (Oriente Médio Norte da África) e alguns na Ásia e Europa Oriental.

Além disso, a tecnologia S @ T Browser suporta mais do que os comandos abusados ​​pelos atacantes – ou seja, aqueles para recuperar dados de localização e códigos IMEI e enviar uma mensagem SMS.

Outros comandos suportados pelo S @ T Browser incluem a capacidade de fazer chamadas, desligar cartões SIM, executar comandos do modem AT, abrir navegadores (com links de phishing ou sites com código de exploração) e muito mais.

O AdaptiveMobile adverte que essa tecnologia e esse ataque podem ser úteis para mais do que apenas vigilância, e outros atores de ameaças em breve também poderão abusar. Por exemplo, o Simjacker também pode ser usado para campanhas de desinformação (para enviar mensagens SMS / MMS com conteúdo falso), fraude financeira (discando números premium), espionagem (iniciando uma chamada e ouvindo conversas próximas) e sabotagem (desativando o SIM de um alvo cartão), entre muitos outros.

De fato, os ataques do Simjacker não são realmente novos. Só que um ator de ameaça encontrou uma maneira de armar as instruções do STK. Eles são conhecidos, pelo menos no nível teórico, desde 2011, quando o pesquisador de segurança romeno Bogdan Alecu descreveu pela primeira vez como um ator malicioso poderia abusar dos comandos do STK para inscrever usuários em números premium [ 1 , 2 ].

A equipe de pesquisa da AdaptiveMobile discutirá e apresentará mais sobre os ataques do Simjacker e suas descobertas na conferência de segurança do VirusBulletin 2019, que será realizada em Londres, em outubro deste ano.

Fonte: ZDNET