Abbiamo fatto più volte riferimento alle vulnerabilità individuate nel corso del tempo nei vari protocolli utilizzati per gestire le comunicazioni sulle reti di telefonia mobile. Tutto è cominciato con la scoperta delle lacune in SS7 (Intercettare telefonate con SS7, ecco come funziona) utilizzate per sferrare attacchi veri e propri nei confronti di specifici utenti (Vulnerabilità in SS7 usate per prosciugare conti correnti bancari), per poi culminare con le falle più recentemente individuate nelle reti 4G e 5G: Vulnerabilità nei protocolli per 4G e 5G permettono di stabilire la posizione degli utenti e Scoperte 36 vulnerabilità nelle reti 4G LTE utilizzabili per modificare il traffico dati.
Questa volta, però, senza sfruttare alcuna vulnerabilità della rete, un i ricercatori di Cybereason hanno scoperto che un gruppo informatici cinesi si è infiltrato nelle reti di 10 operatori di telecomunicazioni a livello mondiale sottraendo informazioni personali su alcuni individui oggetto di specifico interesse.
Non sono state registrate le conversazioni vere e proprie né i contenuti degli SMS inviati e ricevuti ma poggiando sulle reti dei 10 provider (non ne viene fatto ancora il nome ma se ne conferma la dislocazione in Europa, Asia, Africa e Medio Oriente) gli aggressori hanno potuto estrarre e monitorare da remoto un enorme ventaglio di metadati: posizione geografica degli utenti, numeri telefonici contattati, numeri che hanno effettuato chiamate in ingresso e molto altro ancora.
Quella che è stata battezzata “Operation Soft Cell“, ha permesso di dipingere un quadro dettagliato sui contatti e i collaboratori di un gruppo di utenti precedentemente selezionati, stabilire la rete di amicizie, trarre informazioni utili sulle loro abitudini, sul luogo di residenza e lavoro, sul tragitto per muoversi fino al posto di lavoro e tornare a casa.
Nella loro dettagliata analisi, gli esperti di Cybereason spiegano che tutto è cominciato con l’aggressione contro alcuni servizi web dei vari provider.
Utilizzando una versione modificata del noto strumento software Mimikatz, i malintenzionati sono riusciti a estrarre nomi utente e password dalla memoria di ciascun server violato. Utilizzando tecniche di “movimento laterale” ed estendendo il processo sull’infrastruttura di rete di ciascun operatore preso di mira, gli aggressori sono riusciti ad acquisire i privilegi amministrativi di dominio di fatto assumendo il controllo dell’intera rete.
I criminali informatici hanno poi installato un server VPN in modo da semplificare i successivi accessi in modalità remota alla rete degli operatori.
Cybereason ha aggiunto che le agenzie di intelligence hanno ampiamente utilizzato, soprattutto negli anni passati, tecniche per monitorare gli spostamenti degli utenti e raccogliere informazioni sui loro contatti. È però la prima volta che un’azione così ben orchestrata ha preso di mira operatori di telecomunicazioni operativi in aree geografiche completamente differenti per spiare specifici individui a loro totale insaputa e senza quindi installare alcun componente sui loro terminali.