Lạm dụng lỗ hổng mạng viễn thông: Các nhà cung cấp dịch vụ giám sát bị phát hiện theo dõi vị trí người dùng

Các nhà nghiên cứu bảo mật vừa phát hiện hai chiến dịch gián điệp riêng biệt đang lạm dụng các lỗ hổng đã biết từ lâu trong hạ tầng viễn thông toàn cầu để theo dõi vị trí của con người. Theo đánh giá của các chuyên gia, hai chiến dịch này chỉ là một phần nhỏ trong bức tranh toàn cảnh về việc các nhà cung cấp dịch vụ giám sát đang tìm cách truy cập vào mạng lưới điện thoại trên toàn thế giới.

Vào thứ Năm vừa qua, Citizen Lab - một tổ chức quyền kỹ thuật số với hơn một thập kỷ kinh nghiệm trong việc phơi bày các hành vi lạm dụng giám sát - đã công bố một báo cáo mới chi tiết về hai chiến dịch mới được xác định. Các nhà cung cấp dịch vụ giám sát đứng sau các hoạt động này, mà Citizen Lab không nêu tên, đã hoạt động dưới dạng các công ty "ma" giả danh là nhà cung cấp dịch vụ di động hợp pháp. Chúng tận dụng quyền truy cập vào các mạng lưới này để tra cứu dữ liệu vị trí của các mục tiêu.

Các phát hiện mới này đã hé lộ việc tiếp tục khai thác các lỗi bảo mật trong các công nghệ nền tảng của mạng lưới điện thoại toàn cầu.

Một trong những vấn đề chính là sự thiếu an toàn của Hệ thống Tín hiệu 7 (Signaling System 7 - SS7), một tập hợp các giao thức cho mạng 2G và 3G. Trong nhiều năm, SS7 là xương sống giúp các mạng di động kết nối với nhau và định tuyến cuộc gọi, tin nhắn của người dùng trên toàn thế giới. Các nhà nghiên cứu và chuyên gia đã cảnh báo từ lâu rằng chính phủ và các nhà sản xuất công nghệ giám sát có thể khai thác lỗ hổng trong SS7 để định vị điện thoại di động của cá nhân, bởi giao thức này không yêu cầu xác thực cũng như mã hóa, để ngỏ cánh cửa cho các nhà khai thác độc hại lạm dụng nó.

Giao thức mới hơn, Diameter, được thiết kế cho truyền thông 4G và 5G, được kỳ vọng sẽ thay thế SS7 và bao gồm các tính năng bảo mật mà người tiền nhiệm thiếu. Tuy nhiên, như Citizen Lab nhấn mạnh trong báo cáo, vẫn có những cách để khai thác Diameter, vì các nhà cung cấp dịch vụ di động không luôn luôn triển khai các biện pháp bảo vệ mới. Trong một số trường hợp, kẻ tấn công vẫn có thể quay lại khai thác giao thức SS7 cũ hơn.

Hai chiến dịch gián điệp này có ít nhất một điểm chung: Cả hai đều lạm dụng quyền truy cập vào ba nhà cung cấp dịch vụ viễn thông cụ thể, những nhà mạng này liên tục đóng vai trò là "điểm vào và điểm trung chuyển giám sát trong hệ sinh thái viễn thông". Quyền truy cập này đã mang lại cho các nhà cung cấp dịch vụ giám sát và khách hàng chính phủ đứng sau các chiến dịch khả năng "ẩn nấp sau hạ tầng của họ", như các nhà nghiên cứu giải thích.

Theo báo cáo, nhà mạng đầu tiên là 019Mobile của Israel, mà các nhà nghiên cứu cho biết đã được sử dụng trong một số nỗ lực giám sát. Nhà cung cấp tại Anh, Tango Networks U.K., cũng bị sử dụng cho hoạt động giám sát trong vài năm, theo các nhà nghiên cứu.

Nhà cung cấp dịch vụ di động thứ ba, Airtel Jersey, một nhà mạng trên đảo Jersey thuộc kênh Anh hiện thuộc sở hữu của công ty Sure, có mạng lưới đã từng bị liên kết với các chiến dịch giám sát trước đây.

Trong một tuyên bố gửi cho TechCrunch, CEO của Sure, Alistair Beak, cho biết công ty "không cho thuê quyền truy cập tín hiệu trực tiếp hoặc có ý thức cho các tổ chức nhằm mục đích định vị hoặc theo dõi cá nhân, hoặc để chặn nội dung truyền thông".

"Sure thừa nhận rằng các dịch vụ kỹ thuật số có thể bị lạm dụng, đó là lý do tại sao chúng tôi thực hiện một số bước để giảm thiểu rủi ro này. Sure đã triển khai một số biện pháp bảo vệ để ngăn chặn việc lạm dụng dịch vụ tín hiệu, bao gồm giám sát và chặn các tín hiệu không phù hợp", tuyên bố của Beak đọc. "Bất kỳ bằng chứng hoặc khiếu nại hợp lệ liên quan đến việc lạm dụng mạng của Sure sẽ dẫn đến việc dịch vụ bị đình chỉ ngay lập tức và, trong trường hợp xác nhận hoạt động độc hại hoặc không phù hợp sau khi điều tra, chấm dứt vĩnh viễn."

019Mobile và Tango Networks chưa phản hồi yêu cầu bình luận.

Theo Citizen Lab, nhà cung cấp dịch vụ giám sát đầu tiên đã tạo điều kiện cho các chiến dịch gián điệp kéo dài nhiều năm nhắm vào các mục tiêu khác nhau trên khắp thế giới và sử dụng hạ tầng của một số nhà cung cấp dịch vụ di động khác nhau. Điều này khiến các nhà nghiên cứu kết luận rằng các khách hàng chính phủ khác nhau của nhà cung cấp dịch vụ giám sát này đứng sau các chiến dịch khác nhau.

"Bằng chứng cho thấy một hoạt động có chủ đích và được tài trợ tốt với sự tích hợp sâu rộng vào hệ sinh thái tín hiệu di động", các nhà nghiên cứu viết.

Gary Miller, một trong những nhà nghiên cứu điều tra các cuộc tấn công này, cho biết TechCrunch rằng một số manh mối chỉ đến một "nhà cung cấp tình báo địa lý thương mại có trụ sở tại Israel với các khả năng viễn thông chuyên biệt", nhưng không nêu tên nhà cung cấp dịch vụ giám sát này. Một số công ty Israel được biết đến là cung cấp các dịch vụ tương tự, chẳng hạn như Circles (sau này được công ty tạo ra phần mềm gián điệp NSO Group mua lại), Cognyte và Rayzone.

Theo Citizen Lab, chiến dịch đầu tiên dựa vào việc cố gắng lạm dụng lỗ hổng trong SS7, sau đó chuyển sang khai thác Diameter nếu các nỗ lực đó thất bại.

Chiến dịch gián điệp thứ hai sử dụng các phương pháp khác. Trong trường hợp này, nhà cung cấp dịch vụ giám sát khác đứng sau nó - Citizen Lab cũng không nêu tên - đã dựa vào việc gửi một loại tin nhắn SMS đặc biệt đến một mục tiêu "nổi tiếng" cụ thể, như các nhà nghiên cứu giải thích.

Đây là các tin nhắn dạng văn bản được thiết kế để giao tiếp trực tiếp với thẻ SIM của mục tiêu, mà không để lại bất kỳ dấu vết nào cho người dùng. Trong điều kiện bình thường, các tin nhắn này được các nhà mạng sử dụng để gửi các lệnh vô hại đến thẻ SIM của người đăng ký nhằm giữ cho thiết bị kết nối với mạng của họ. Tuy nhiên, nhà cung cấp dịch vụ giám sát đã thay vào đó gửi các lệnh về cơ bản biến điện thoại của mục tiêu thành thiết bị theo dõi vị trí, theo các nhà nghiên cứu. Loại tấn công này được công ty an ninh mạng di động Enea đặt tên là SIMjacker vào năm 2019.

"Tôi đã quan sát thấy hàng nghìn cuộc tấn công như vậy trong những năm qua, vì vậy tôi sẽ nói đây là một khai thác khá phổ biến và khó phát hiện", Miller nói. "Tuy nhiên, các cuộc tấn công này dường được nhắm mục tiêu theo địa lý, cho thấy các tác nhân sử dụng các cuộc tấn công kiểu SIMjacker có khả năng biết các quốc gia và mạng lưới dễ bị tổn thương nhất với chúng".

Miller khẳng định rõ ràng rằng hai chiến dịch này chỉ là bề nổi của tảng băng chìm. "Chúng tôi chỉ tập trung vào hai chiến dịch giám sát trong một vũ trụ hàng triệu cuộc tấn công trên toàn cầu", ông nói.