Отказ в обслуживании абонентов возможен в 100% сетей 4G

Отказ в обслуживании абонентов возможен в 100% сетей 4G

Отказ в обслуживании абонентов возможен в 100% сетей 4G

Согласно отчету Positive Technologies, используя недостатки протокола Diameter, злоумышленник может лишить абонентов основных преимуществ 4G — высокой скорости и качества связи. Уязвимости протокола Diameter могут привести к блокировке работы банкоматов, POS-терминалов, приборов учета ЖКХ, автосигнализаций, а также систем видеонаблюдения. Если абонент является системой диагностики на магистральном газопроводе или GSM-контроллером утечки бытового газа, отсутствие связи может привести не только к прямому денежному ущербу, но и к опасным авариям.

Мобильные сети 4G с каждым годом получают все более широкое распространение. При этом пользователи ожидают от оператора, которому они доверяют, высокого качества связи и надежной защиты данных. Однако в протоколе Diameter, применяемом в сетях 4G для передачи служебных сообщений, эксперты Positive Technologies обнаружили ряд уязвимостей.

Например, злоумышленник может зарегистрировать абонента в несуществующей сети — и полностью оставить его без связи. Кроме того, уязвимости позволяют атакующему реализовать массовый отказ в обслуживании, что чревато серьезными финансовыми и репутационными потерями для мобильного оператора, так как сразу тысячи пользователей могут быть отключены на длительное время (до перезагрузки устройства или перехода в зону действия другого узла управления мобильностью).

Риску мошенничества в отношении оператора подвержена каждая третья сеть 4G. Киберпреступники могут пользоваться мобильной связью бесплатно и продавать подобные услуги третьим лицам. Под угрозой и приватность: все сети четвертого поколения позволяют отследить местоположение абонентов.

«В 2017 году мы уже показывали, что в сетях 4G можно реализовывать атаки, связанные с определением местоположения абонента, отказом в обслуживании и другими нелегитимными действиями. Однако пока операторы принимают лишь минимальные меры защиты в отношении уязвимостей протокола Diameter, — отмечает руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков. — А если посмотреть на инфраструктуру предыдущих поколений, то картина еще печальней. Злоумышленник может принудительно перевести устройство абонента в режим 3G — и проводить атаки на менее защищенную систему SS7, где прослушивать голосовые вызовы или перехватывать SMS гораздо проще. Напомню, что в сетях 2G и 3G в процессе исследования их безопасности нам удалось перехватить 9 из 10 SMS».

Большинство выявленных недостатков были связаны не только с некорректной настройкой или уязвимостями сетевого оборудования, но также с фундаментальными проблемами протокола Diameter, для решения которых требуются дополнительные средства защиты. Эксперты Positive Technologies подчеркивают необходимость комплексного подхода к безопасности.

В исследовании Positive Technologies участвовали операторы связи стран Европы и Азии. Большую часть (80%) составили крупные телекоммуникационные компании с объемом абонентской базы более 40 миллионов человек.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru