Большинство поставщиков эксплоитов для SS7 в даркнете - мошенники
19/11/21
Исследователи безопасности предупреждали об уязвимостях в системе сигнализации № 7 или ОКС-7 (SS7) еще в 2016 году, и уже через год из гипотетических атаки на SS7 превратились в реальные.
В последующие годы правительственные хакеры эксплуатировали уязвимости в SS7 для отслеживания отдельных лиц за границей, а киберпреступники использовали их для взлома учетных записей пользователей Telegram и электронной почты.
Уязвимости в SS7 могут эксплуатироваться для перехвата SMS-сообщений, переадресации или перехвата телефонных звонков и кодов двухфакторной аутентификации, определения местоположения устройств, а также для спуфинга SMS и пр.
Специалисты SOS Intelligence решили изучить сервисы даркнета, предлагающие эксплуатацию уязвимостей в SS7 и понять, действительно ли в их распоряжении есть уязвимости, или они всего лишь пускают пыль в глаза.
В ходе исследования эксперты изучили 84 уникальных onion-домена, предлагающие эксплуатацию уязвимости в SS7. Сузив круг до сервисов, которые активны в настоящее время, исследователи остановились на четырех сервисах: SS7 Exploiter, SS7 ONLINE Exploiter, SS7 Hack и Dark Fox Market. Все четыре сервиса предлагают клиентам перехват и спуфинг SMS-сообщений, отслеживание местоположения, а также перехват и перенаправление телефонных звонков.
Проанализировав данные топологии сети для этих сайтов, исследователи заметили, что некоторые из них сравнительно изолированные, и у них мало входящих ссылок. Это не очень хороший признак надежности и достоверности сайта и, как правило, указывает на недавно созданные мошеннические платформы.
Более того, похоже, сайт SS7 Hack был скопирован с аналогичного сайта в открытом интернете, созданного в 2021 году. При попытке использовать свой набор эксплоитов для SS7 в надежде на реализацию функции зеркалирования API, исследователи ничего не получили, поскольку сервис был отключен.
На платформе Dark Fox Market, которая берет $180 за каждый атакуемый номер телефона, специалисты обнаружили демо-видео, загруженные на YouTube русскоговорящим пользователем еще в 2016 году. Скорее всего, видео было просто украдено с YouTube и не имеет никакого отношения к Dark Fox Market.
Несмотря на все вышесказанное, проанализировав криптовалютные кошельки этих платформ, специалисты обнаружили, что мошеннические сервисы приносят своим создателям немалый доход.
Однако наличие большого количества мошеннических сервисов отнюдь не означает, что настоящих сервисов по взлому SS7 не существует. Такие сайты есть, но попасть на них можно только через закрытые хакерские форумы и подпольные торговые площадки наподобие World Market.
Как это обычно бывает в даркнете, первые результаты поиска, которые можно найти на поверхности, обычно являются мошенническими. Для того чтобы найти настоящий сервис, нужно копнуть гораздо глубже, но и это не является стопроцентной гарантией против мошенничества.
У высокопрофессиональных хакеров есть доступ к данных мобильных устройств благодаря партнерам или собственным операциям, и им не нужно обращаться к поставщикам эксплоитов для уязвимостей в SS7.