Forscher bringen neuen SS7-Verschlüsselungsangriff mit Aktivitäten von Überwachungsanbietern in Verbindung

Mobilfunknetze stehen vor einem neuen Problem der Cybersicherheit: Forscher haben eine neue Methode entdeckt, mit der Angreifer den SS7-Schutz umgehen. Die von Enea Threat Intelligence veröffentlichte Studie mit dem Titel „Das Gute, das Schlechte und die Verschlüsselung“ erklärt, wie Angreifer Verschlüsselungsmethoden nutzen, um Sicherheitsvorkehrungen zu umgehen und unentdeckt Exploits auszuführen.

SS7 (Signaling System 7 ) ist ein jahrzehntealtes Protokoll, das Mobilfunkanbietern das Verbinden von Anrufen, Versenden von Textnachrichten und das Roaming zwischen Netzwerken ermöglicht. Obwohl es die Grundlage der globalen Telekommunikation bildet, wurde es nie für moderne Sicherheit entwickelt.

Trotz anhaltender Bemühungen, den SS7-Verkehr zu patchen und zu überwachen, finden Angreifer immer wieder Wege, dessen Schwachstellen auszunutzen. Die Erkenntnisse von Enea zeigen, wie durch Manipulation der Verschlüsselung Standard-Erkennungstechniken umgangen werden können. Dies gibt Cyberkriminellen die Möglichkeit, Kommunikation abzufangen oder böswillige Aktivitäten durchzuführen.

Das eigentliche Problem besteht laut Forschern darin, dass der Angriff unbemerkt erfolgen kann. Beispielsweise kann durch eine Anpassung der Nachrichtenverschlüsselung bösartiger Datenverkehr für bestehende SS7-Firewalls und Überwachungstools harmlos erscheinen. In der Praxis bedeutet dies, dass verdächtige Aktivitäten unbemerkt durchkommen können, ohne dass sofortiger Alarm ausgelöst wird. Betreiber sind dann Bedrohungen wie Datenabfangen, Anrufumleitungen und Standortverfolgung ausgesetzt.

Die Forscher von Enea fanden Hinweise darauf, dass ein Anbieter von Überwachungssystemen genau diese Verschlüsselungstechnik bereits in der Praxis eingesetzt hat. Der Angriff, der erstmals Ende 2024 auftrat, diente dazu, von bestimmten Betreibern Standortdaten von Mobilfunkteilnehmern anzufordern.

Den Forschern zufolge gelang es den Angreifern, wichtige Felder vor den Erkennungssystemen zu verbergen, indem sie die Formatierung bestimmter Signalnachrichten veränderten, sodass die Anfrage ohne Blockierung oder Markierung durchging.

„ Die Quelle der Angriffe entsprach einem Überwachungsunternehmen, das wir seit vielen Jahren beobachten, und wir gehen davon aus, dass die Angriffe von diesem Unternehmen identifiziert und genutzt wurden “ , so das Unternehmen. „ Wir haben keine Informationen darüber, wie erfolgreich diese Angriffsmethode weltweit war, da ihr Erfolg anbieter-/softwarespezifisch ist und nicht auf eine allgemeine Protokollschwachstelle zurückzuführen ist. Ihre Verwendung als Teil einer Suite deutet jedoch darauf hin, dass sie einen gewissen Nutzen hatte. “

Die Forscher von Enea warnen, dass das Problem weiterhin besteht, da SS7 für Roaming und Interoperabilität weiterhin weit verbreitet ist, auch wenn neuere Technologien wie Diameter und 5G- Signalisierung auf dem Vormarsch sind. Ein vollständiger Verzicht auf SS7 ist für die meisten Mobilfunkbetreiber keine Option. Daher müssen Netzwerkverteidiger einen anderen Ansatz verfolgen, um diese Bedrohungen einzudämmen.

Das Unternehmen rät den Betreibern, unregelmäßige Verschlüsselungsmuster zu überwachen, ihre Signal-Firewalls zu verstärken und Bedrohungsinformationen mit Verhaltensanalysen zu kombinieren, um Umgehungsversuche frühzeitig zu erkennen.