Simjacker – Next Generation Spying Over Mobile

Simjacker - espionagem de última geração por celular

12 de setembro de 2019, por Cathal McDaid

compartilhar:

Hoje estamos anunciando a existência da vulnerabilidade e explorações associadas que chamamos de Simjacker . Acreditamos que essa vulnerabilidade tenha sido explorada nos últimos 2 anos por um agente de ameaças altamente sofisticado em vários países, principalmente para fins de vigilância. Além do impacto sobre as vítimas, em nossa análise, o Simjacker e suas façanhas associadas representam um enorme salto em complexidade e sofisticação em comparação com ataques vistos anteriormente em redes principais móveis. Representa uma escalada considerável no conjunto de habilidades e habilidades dos invasores que procuram explorar redes móveis.   

Forneceremos detalhes técnicos sobre o Simjacker durante a Virus Bulletin Conference, Londres, 3 de outubro de 2019, mas neste blog apresentaremos uma visão geral do Simjacker, como ele funciona e quem está explorando potencialmente, além de por que é tão significativo. novo tipo de ataque.

Como funciona

Na sua forma mais simples, o ataque principal do Simjacker envolve um SMS contendo um tipo específico de código semelhante a spyware sendo enviado para um telefone celular, que instrui o UICC (SIM Card) no telefone a "assumir" o telefone móvel , a fim de para recuperar e executar comandos sensíveis.

O ataque começa quando um SMS - que chamamos de "Mensagem de ataque" do Simjacker - é enviado para o telefone alvo. Essa mensagem de ataque do Simjacker, enviada de outro telefone, um modem GSM ou uma conta de envio de SMS conectada a uma conta A2P, contém uma série de instruções do SIM Toolkit (STK) e foi criada especificamente para ser transmitida ao UICC / eUICC (SIM Cartão) dentro do dispositivo. Para que essas instruções funcionem, o ataque explora a presença de um software específico, chamado S @ T Browser- isso é na UICC. Depois que a mensagem de ataque do Simjacker é recebida pelo UICC, ela usa a biblioteca S @ T Browser como um ambiente de execução no UICC, onde pode acionar a lógica no aparelho. Para o ataque principal observado, o código do Simjacker em execução no UICC solicita local e informações específicas do dispositivo (o IMEI) do aparelho. Depois que essas informações são recuperadas, o código do Simjacker em execução no UICC as coleta e envia as informações combinadas para um número de destinatário por outro SMS (chamamos isso de 'Mensagem de Dados'), novamente acionando a lógica do aparelho. Essa mensagem de dados é o método pelo qual a localização e as informações do IMEI podem ser filtradas para um telefone remoto controlado pelo invasor.

Durante o ataque, o usuário desconhece completamente que recebeu o SMS com a mensagem Ataque do Simjacker, que essas informações foram recuperadas e enviadas para fora no SMS da mensagem de dados - não há indicação em nenhuma caixa de entrada ou caixa de entrada de SMS. 

O que faz esse ataque funcionar e por que é especial?

O ataque depende tanto da permissão dessas mensagens SMS específicas quanto da presença do software S @ T Browser no UICC no telefone de destino. As mensagens SMS específicas direcionadas aos cartões UICC foram demonstradas anteriormente sobre como elas podem ser exploradas para fins maliciosos. O ataque do Simjacker adota uma abordagem diferente e simplifica e expande bastante o ataque, contando com o software S @ T Browser como um ambiente de execução. O navegador S @ T (pronunciado sat) - ou SIMalliance Toolbox Browser para dar seu nome completo - é um aplicativo especificado pelo SIMalliancee pode ser instalado em uma variedade de UICC (cartões SIM), incluindo eSIMs. Esse software S @ T Browser não é bem conhecido, é bastante antigo e seu objetivo inicial era permitir serviços como obter o saldo da sua conta através do cartão SIM. Globalmente, sua função foi substituída principalmente por outras tecnologias, e sua especificação não é atualizada desde 2009; no entanto, como muitas tecnologias herdadas, ela ainda é usada enquanto permanece em segundo plano. Nesse caso, observamos o protocolo S @ T sendo usado por operadoras de telefonia móvel em pelo menos 30 países cuja população cumulativa chega a mais de um bilhão de pessoas, de modo que uma quantidade considerável de pessoas é potencialmente afetada. Também é altamente provável que países adicionais tenham operadoras de celular que continuem usando a tecnologia em cartões SIM específicos.

Esse ataque também é único, na medida em que a Mensagem de ataque do Simjacker pode logicamente ser classificada como transportando uma carga útil completa de malware, especificamente spyware. Isso ocorre porque ele contém uma lista de instruções que o cartão SIM deve executar. Como o software é essencialmente uma lista de instruções, e malware é um software 'ruim', então isso poderia fazer a Simjacker explorar t ele primeiro caso da vida real de malware (specificially spyware) enviada dentro de um SMS. Malwares anteriores enviados por SMS - como os incidentes que analisamos aqui - envolveram o envio de links para malware, não o malware em uma mensagem completa.

Além da localização

No entanto, a novidade e o potencial do Simjacker não param por aí. Recuperar a localização de uma pessoa é uma coisa, mas usando a mesma técnica e modificando a mensagem de ataque, o invasor pode instruir o UICC a executar uma série de outros ataques. Isso ocorre porque, usando o mesmo método que o invasor tem acesso ao conjunto de comandos STK completo , alguns exemplos desses comandos STK são:

• TOM DE REPRODUÇÃO
• ENVIAR MENSAGEM CURTA
• CONFIGURAR CHAMADA
• ENVIAR USSD
• ENVIAR SS
• FORNECER INFORMAÇÕES LOCAIS
  • Informações de localização, IMEI, Bateria, Rede, Idioma, etc
• DESLIGAR CARTÃO
• EXECUTAR NO COMANDO
• ENVIAR COMANDO DTMF
• NAVEGADOR DE LANÇAMENTO
• CANAL ABERTO
  • CS PORTADOR, PORTADOR DE SERVIÇO DE DADOS, PORTADOR LOCAL, MODO UICC SERVER, etc
• ENVIAR DADOS
• OBTER INFORMAÇÕES DE SERVIÇO
• ENVIAR MENSAGEM MULTIMÍDIA
• PEDIDO DE LOCALIZAÇÃO GEOGRÁFICA

Usando esses comandos em nossos próprios testes, conseguimos fazer com que aparelhos direcionados abrissem navegadores da web, tomassem outros telefones, enviassem mensagens de texto e assim por diante. Esses ataques podem ser usados ​​para cumprir propósitos como

• Informações incorretas (por exemplo, enviando mensagens SMS / MMS com conteúdo controlado pelo invasor)
• Fraude (por exemplo, discando números de tarifa premium),
• Espionagem (assim como o local que recupera o ataque de um dispositivo atacado, ele pode funcionar como um dispositivo de escuta, tocando em um número),
• Propagação de malware (forçando um navegador a abrir uma página da Web com malware localizado)
• Negação de serviço (por exemplo, desativando o cartão SIM)
• Recuperação de informações (recupere outras informações, como idioma, tipo de rádio, nível da bateria etc.)

Pode até ser possível ir ainda mais longe - dependendo do tipo de aparelho - que discutiremos em nossa apresentação do VB2019. O mais preocupante é que não somos as únicas pessoas a pensar nesses ataques adicionais. Nas últimas semanas e meses, observamos que os agressores experimentam esses diferentes recursos.

Finalmente, outro benefício do Simjacker da perspectiva do atacante é que muitos de seus ataques parecem funcionar independentemente dos tipos de aparelhos , pois a vulnerabilidade depende do software no UICC e não do dispositivo. Observamos que dispositivos de quase todos os fabricantes são direcionados com sucesso para recuperar o local: Apple, ZTE, Motorola, Samsung, Google, Huawei e até dispositivos IoT com cartões SIM. Uma observação importante é que, para alguns ataques específicos, os tipos de aparelhos são importantes. Algumas, como configurar uma chamada, exigem a interação do usuário para confirmar, mas isso não é garantido e telefones ou dispositivos mais antigos sem teclado ou tela (como o dispositivo IoT) podem nem solicitar isso.

Quem está fazendo isso

A próxima pergunta, então, é quem está explorando isso e por quê? Estamos bastante confiantes de que essa exploração foi desenvolvida por uma empresa privada específica que trabalha com governos para monitorar indivíduos . Além de produzir esse spyware, essa mesma empresa também tem amplo acesso à rede principal do SS7 e do Diameter , pois vimos algumas das mesmas vítimas do Simjacker sendo alvo de ataques pela rede SS7 também, com métodos de ataque do SS7 sendo usados ​​como um método alternativo quando os ataques do Simjacker não são bem-sucedidos. Até agora, vimos números de telefone de vários países sendo alvejados por esses ataques e temos certeza de que indivíduos em outros países também foram alvejados por ataques de Simjacker. Usando nossa coleção deCom a Inteligência de Sinalização (SIGIL) , conseguimos correlacionar essa atividade do SS7 relacionada ao Simjacker com um grupo que já detectamos tentar atacar alvos via meios SS7 em todo o mundo.

Em um país, vemos cerca de 100-150 números de telefone individuais específicos sendo segmentados por dia por ataques de Simjacker, embora tenhamos assistido a explosões de até 300 números de telefone tentando serem rastreados em um dia, a distribuição de tentativas de rastreamento varia. Alguns números de telefone, presumivelmente de alto valor, foram tentados a serem rastreados várias centenas de vezes durante um período de 7 dias, mas a maioria tinha volumes muito menores. Um padrão semelhante foi observado na atividade diária, muitos números de telefone foram direcionados repetidamente por vários dias, semanas ou meses de cada vez, enquanto outros foram direcionados como um ataque único. Esses padrões e o número de rastreamentos indicam que não é uma operação de vigilância em massa, mas projetada para rastrear um grande número de indivíduos para uma variedade de propósitos, com metas e prioridades mudando ao longo do tempo.

Bloqueando os ataques e pensando a longo prazo

Para lidar com essa vulnerabilidade, nós e a indústria móvel estamos dando vários passos.

1. Trabalhamos com nossos próprios clientes de operadoras de telefonia móvel para bloquear esses ataques e agradecemos sua ajuda para ajudar a detectar essa atividade.
2. Também comunicamos à GSM Association - o órgão comercial que representa a comunidade de operadoras de telefonia móvel - a existência dessa vulnerabilidade. Essa vulnerabilidade foi gerenciada através do programa CVMA da GSMA, permitindo que as informações sejam compartilhadas por toda a comunidade móvel.
3. Como parte disso, as informações também foram compartilhadas com a aliança SIM, um órgão comercial que representa os principais fabricantes de cartões SIM / UICC e eles fizeram novas recomendações de segurança para a tecnologia S @ T Browser.

Em geral, nossas recomendações para a comunidade móvel para lidar com a ameaça imediata é que as operadoras móveis analisem e bloqueiem mensagens suspeitas que contenham comandos do S @ T Browser. Os operadores móveis também podem tentar alterar as configurações de segurança dos UICCs no campo remotamente, ou até desinstalar e parar de usar completamente a tecnologia S @ T Browser, mas isso pode ser mais lento e consideravelmente mais difícil de fazer. No entanto, este é apenas um primeiro passo, devido às maiores implicações dos ataques do Simjacker.

A existência do Simjacker significa que precisamos alterar radicalmente nossa mentalidade quando se trata da segurança das redes principais móveis. Acreditamos que o ataque do Simjacker evoluiu como um substituto direto das habilidades perdidas para os atacantes de redes móveis quando as operadoras começaram a proteger sua infraestrutura SS7 e Diameter . Porém, enquanto ataques bem-sucedidos do SS7 exigiam conhecimento específico do SS7 (e acesso), a Mensagem de ataque do Simjacker exige um conjunto muito mais amplo de conhecimentos específicos sobre SMS, Cartão SIM, Telefone, Kit de ferramentas Sim, Navegador S @ T e SS7. Esse investimento claramente compensou os invasores, pois eles acabaram com um método para controlar qualquer telefone celular em um determinado país, todos com apenas um modem GSM de US $ 10 e um número de telefone de destino. Em resumo, o advento do Simjacker significa que os invasores das operadoras móveis investiram pesadamente em novas técnicas de ataque , e esse novo investimento e conjunto de habilidades significa que devemos esperar mais desses tipos de ataques complexos.

Como conseqüência, isso significa que nós, na comunidade de segurança móvel, também precisamos melhorar nossos recursos. Para as operadoras de telefonia móvel, isso também significa que confiar nas recomendações existentes não será suficiente para se proteger, pois atacantes como esses sempre evoluirão para tentar evitar o que é colocado em prática. Em vez disso, as operadoras móveis precisam investigar constantemente atividades suspeitas e maliciosas para descobrir ataques "ocultos". Podemos e devemos esperar que outras vulnerabilidades e ataques que também escapam das defesas existentes sejam descobertos e abusados. Como os invasores expandiram suas habilidades além de simplesmente explorar redes não seguras, agora abrangem uma combinação muito complexa de protocolos, ambientes de execução e tecnologias para iniciar ataques,

O futuro

Estamos apenas arranhando a superfície do Simjacker neste artigo. Em nossa apresentação na Virus Bulletin Conference, em Londres, no dia 3 de outubro de 2019 , forneceremos mais detalhes sobre o formato dos ataques, o que os invasores fazem para evitar a detecção e como eles operam seu sistema, juntamente com uma amostra do tem sido a reação deles desde que seus ataques foram detectados e bloqueados. Também daremos nossa opinião sobre o que acreditamos que esses ataques evoluirão para o próximo. Esperamos que uma reação dessas notícias seja tornada pública e apresentaremos o que (se houver) as revelações públicas têm sobre suas atividades maliciosas.

A exploração do Simjacker representa um enorme, quase semelhante ao Stuxnet, na complexidade dos ataques anteriores SMS ou SS7 / Diameter, e mostra que o alcance e a possibilidade de ataques às redes principais são mais complexos do que se poderia imaginar no passado. Agora é a hora de garantir que fiquemos à frente desses ataques no futuro.