Gli hacker dirottano Telegram, account di posta elettronica sotto attacco mobile SS7

Gli hacker con accesso al Signaling System 7 (SS7) utilizzato per connettere le reti mobili in tutto il mondo sono stati in grado di accedere ai dati di messaggistica e posta elettronica di Telegram di persone di alto profilo nel settore delle criptovalute.

In quello che si ritiene essere un attacco mirato, gli hacker erano alla ricerca di codici di accesso con autenticazione a due fattori (2FA) forniti tramite il breve sistema di messaggistica del provider di telefonia mobile della vittima.

Hacker ben preparati

Gli hacker che eseguono un attacco SS7 possono intercettare messaggi di testo e chiamate di un destinatario legittimo aggiornando la posizione del proprio dispositivo come se fosse registrato su una rete diversa (scenario di roaming).

L’attacco è avvenuto a settembre e ha preso di mira almeno 20 abbonati della Partner Communications Company (precedentemente nota come Orange Israel), tutti coinvolti a un livello superiore in progetti di criptovaluta.

Tsachi Ganot, il co-fondatore di Pandora Security a Tel-Aviv, che ha indagato sull’incidente e ha aiutato le vittime a riottenere l’accesso ai loro account, ha detto che tutti gli indizi indicano un attacco SS7.

Pandora Security è specializzata nella creazione di ambienti digitali sicuri e fornisce tecnologia e servizi informatici a persone di alto profilo, come figure aziendali di spicco e celebrità. Secondo Ganot, i clienti includono alcune delle persone più ricche del mondo.

Ganot ci ha detto che gli hacker probabilmente hanno falsificato il centro servizi di messaggi brevi (SMSC) di un operatore di rete mobile (non identificato al momento della scrittura) per inviare una richiesta di aggiornamento della posizione per i numeri di telefono mirati al partner (altri provider potrebbero essere ancora vulnerabili a questo tipo di attacco).

La richiesta di aggiornamento chiedeva essenzialmente a Partner di inviare al falso MSC tutte le chiamate vocali e gli SMS destinati alle vittime.

Ganot afferma che gli aggressori avevano una buona conoscenza dei vari account delle loro vittime e delle password trapelate. Conoscevano numeri di abbonati internazionali univoci (MSISDN – Mobile Station International Subscriber Directory Number) e numeri IMSI (International Mobile Subscriber Identity).

Gli attacchi SS7, sebbene più frequenti negli ultimi anni, non sono facili da attirare e richiedono una buona conoscenza delle reti mobili domestiche che interagiscono e instradano la comunicazione a livello globale.

In questo caso, l’obiettivo degli hacker era ottenere criptovaluta. Ganot ritiene che alcune delle caselle di posta compromesse in questo modo abbiano agito come metodo di backup per altri account di posta elettronica con dati più ricchi, consentendo all’attore della minaccia di raggiungere il proprio obiettivo.

“In alcuni casi, gli hacker si sono presentati come vittime nei loro account di messaggistica istantanea [Telegram] e hanno scritto ad alcuni dei loro conoscenti, chiedendo di scambiare BTC con ETC e simili” – Tsachi Ganot

Questo metodo è ben noto nella comunità delle criptovalute e gli utenti sono in genere diffidenti nei confronti di tali richieste. Ganot dice che “per quanto ne sappiamo nessuno si è innamorato dell’esca”.

Sebbene l’invio di codici di verifica tramite SMS sia ampiamente considerato insicuro nella comunità di infosec e, per una buona ragione, molti servizi si affidano ancora a questa pratica, mettendo a rischio gli utenti.

Oggi esistono metodi di autenticazione migliori rispetto all’autenticazione 2FA basata su SMS o chiamata. Le app create appositamente per questo scopo o le chiavi fisiche sono tra le soluzioni, afferma Ganot, aggiungendo anche che gli standard delle telecomunicazioni devono allontanarsi dai protocolli legacy come SS7 (sviluppato nel 1975), che non può affrontare i problemi moderni.

Il quotidiano israeliano Haaretz ha pubblicato i dettagli su questo attacco all’inizio di questo mese, affermando che l’agenzia di intelligence nazionale israeliana (Mossad) e l’Autorità nazionale per la sicurezza informatica del paese sono state coinvolte nelle indagini.

La pubblicazione rileva inoltre che Ganot e il suo partner (fondatori di Pandora Security) hanno lavorato per la NSO per alcuni anni.