Fornecedores de vigilância foram pegos abusando do acesso a empresas de telecomunicações para rastrear a localização dos telefones das pessoas, dizem os pesquisadores

Pesquisadores de segurança descobriram duas campanhas de espionagem distintas que exploram fraquezas bem conhecidas na infraestrutura global de telecomunicações para rastrear a localização das pessoas. Os investigadores dizem que estas duas campanhas são provavelmente um pequeno retrato do que acreditam ser uma exploração generalizada de fornecedores de vigilância que procuram acesso a redes telefónicas globais.

Na quinta-feira o Citizen Lab uma organização de direitos digitais com mais de uma década de experiência expondo abusos de vigilância publicou um novo relatório detalhando as duas campanhas recém-identificadas. Os fornecedores de vigilância por trás deles, cujo nome o Citizen Lab não nomeou, operavam como empresas “fantasma” que fingiam ser fornecedores de telefonia celular legítimos e aproveitavam o seu acesso a essas redes para procurar os dados de localização dos seus alvos.

As novas descobertas revelam a exploração contínua de falhas conhecidas nas tecnologias que sustentam as redes telefónicas globais.

Um deles é a insegurança do Signaling System 7, ou SS7, um conjunto de protocolos para redes 2G e 3G que durante anos tem sido a espinha dorsal de como as redes celulares se conectam entre si e encaminham chamadas e mensagens de texto de assinantes em todo o mundo. Pesquisadores e especialistas há muito tempo avisado que os governos e os fabricantes de tecnologia de vigilância podem explorar vulnerabilidades no SS7 para localizar geograficamente os telemóveis dos indivíduos, uma vez que o SS7 não requer autenticação nem encriptação, deixando a porta aberta para operadores desonestos abusarem dele.

O protocolo mais recente, Diameter, projetado para comunicações 4G e 5G mais recentes, deve substituir o SS7 e inclui os recursos de segurança que faltam em seu antecessor. Mas, como destaca o Citizen Lab neste relatório, ainda existem maneiras de explorar o Diameter, já que os provedores de celular nem sempre implementam as novas proteções. Em alguns casos, os invasores ainda podem voltar a explorar o protocolo SS7 mais antigo.

As duas campanhas de espionagem têm pelo menos uma coisa em comum: ambas abusaram do acesso a três fornecedores de telecomunicações específicos que agiram repetidamente “como pontos de entrada e trânsito de vigilância dentro do ecossistema de telecomunicações”. Este acesso deu aos fornecedores de vigilância e aos seus clientes governamentais por trás das campanhas a capacidade de “se esconderem atrás da sua infra-estrutura”, como explicaram os investigadores.

Segundo o relatório, a primeira é a operadora israelense 019Mobile, que os pesquisadores disseram ter sido usada em diversas tentativas de vigilância. O provedor britânico Tango Networks UK também foi usado para atividades de vigilância durante vários anos, dizem os pesquisadores.

A terceira operadora de telefonia celular, Airtel Jersey, uma operadora na Ilha do Canal de Jersey agora propriedade da Sure, uma empresa cujas redes foram vinculado a campanhas de vigilância anteriores.

O CEO da Sure, Alistair Beak, disse ao TechCrunch que a empresa “não aluga acesso à sinalização direta ou intencionalmente a organizações para fins de localização ou rastreamento de indivíduos ou para interceptação de conteúdo de comunicações”.

“A Sure reconhece que os serviços digitais podem ser utilizados indevidamente, e é por isso que tomamos uma série de medidas para mitigar este risco. A Sure implementou várias medidas de protecção para evitar a utilização indevida de serviços de sinalização, incluindo monitorização e bloqueio de sinalização inadequada”, lê-se na declaração de Beak. “Qualquer evidência ou reclamação válida relacionada ao uso indevido da rede da Sure resulta na suspensão imediata do serviço e, quando atividade maliciosa ou inadequada for confirmada após investigação, encerrado permanentemente.”

019Mobile e Tango Networks não responderam a um pedido de comentário.

Pesquisadores dizem que pessoas de “alto perfil” são visadas

De acordo com o Citizen Lab, o primeiro fornecedor de vigilância facilitou campanhas de espionagem que duraram vários anos contra diferentes alvos em todo o mundo e utilizando a infra-estrutura de vários fornecedores de telemóveis diferentes. Isto levou os investigadores a concluir que diferentes clientes governamentais do fornecedor de vigilância estavam por detrás das várias campanhas.

“As evidências mostram uma operação deliberada e bem financiada, com profunda integração no ecossistema de sinalização móvel”, escreveram os pesquisadores.

Gary Miller, um dos pesquisadores que investigou esses ataques, disse ao TechCrunch que algumas pistas apontam para um “provedor comercial de geointeligência baseado em Israel com capacidades especializadas de telecomunicações”, mas não revelou o nome do provedor de vigilância. Várias empresas israelenses são conhecidas por oferecer serviços semelhantes, como Circles (posteriormente adquirida pelo fabricante de spyware NSO Group), Cognyte e Rayzone.

De acordo com o Citizen Lab, a primeira campanha baseou-se na tentativa de abusar das falhas do SS7 e, em seguida, passar a explorar o Diameter se essas tentativas falhassem.

A segunda campanha de espionagem utilizou métodos diferentes. Nesse caso, o outro fornecedor de vigilância por trás dele – o Citizen Lab também não cita o nome – dependia do envio de um tipo especial de mensagem SMS para um alvo específico de “alto perfil”, conforme explicaram os pesquisadores.

São mensagens de texto projetadas para se comunicar diretamente com o cartão SIM do alvo, sem mostrar nenhum vestígio delas ao usuário. Em circunstâncias normais, essas mensagens são usadas pelas operadoras de telefonia celular para enviar comandos inócuos aos cartões SIM de seus assinantes, usados ​​para manter um dispositivo conectado à sua rede. Mas o fornecedor de vigilância enviou comandos que essencialmente transformaram o telefone do alvo em um dispositivo de rastreamento de localização, segundo os pesquisadores. Este tipo de ataque foi apelidado SIMjacker pela empresa de segurança cibernética móvel Enea em 2019.

“Observei milhares desses ataques ao longo dos anos, então eu diria que é uma exploração bastante comum e difícil de detectar”, disse Miller. “No entanto, estes ataques parecem ser direcionados geograficamente, indicando que os atores que empregam ataques do tipo SIMjacker provavelmente conhecem os países e redes mais vulneráveis ​​a eles.”

Miller deixou claro que estas duas campanhas são apenas a ponta do iceberg. “Nós nos concentramos apenas em duas campanhas de vigilância em um universo de milhões de ataques em todo o mundo”, disse ele.