Перейти к содержанию

Как работает атака SNI5GECT на 5G-связь и чем она угрожает абонентам | Блог Касперского


Рекомендуемые сообщения

Опубликовано

Недостатки и уязвимости сотовых сетей регулярно применяются для атак на абонентов. Злоумышленники используют устройства с броскими названиями IMSI Catcher (Stingray) и SMS blaster, чтобы следить за перемещениями людей, а также присылать им спам и вредоносное ПО. Проще всего проводить такие атаки было в сетях 2G, сложнее — в сетях 3G и 4G, где появилась защита. Но даже в 4G-сетях нашлись недостатки реализации, делающие возможными отслеживание перемещений абонента и другие утечки информации. Вздохнем спокойно при переходе на 5G? Увы, нет.

Апгрейд наоборот

Многие практические атаки вроде того же «SMS-бластера» основаны на «даунгрейде», то есть принудительном переключении смартфона жертвы на более старые стандарты связи. В старых стандартах у атакующего больше простор для маневра — от возможности узнать уникальный идентификатор абонента (IMSI) до отправки фальшивых SMS от имени любой организации. Как правило, «даунгрейд» проводится с помощью устройства, которое заглушает сигнал настоящей базовой станции сотового оператора и транслирует что-то свое. Но это может быть обнаружено оператором и в будущем будет работать хуже, потому что в смартфонах появляется встроенная защита от подобных атак, препятствующая переключению на 2G, а иногда и на 3G.

Исследователи Сингапурского технологического университета продемонстрировали атаку SNI5GECT, которая работает в новейших 5G-сетях и не требует таких заметных действий, как глушение легитимного сигнала базовых станций. Атакующий, находясь в радиусе до 20 м от жертвы, может заставить модем целевого устройства перезагрузиться, а также насильственно переключить его в сеть 4G, где проще идентифицировать абонента и следить за его перемещениями. Как работает атака?

Перед подключением устройства к базовой станции 5G между ними происходит обмен информацией, первые этапы которого не зашифрованы. Позднее, уже установив зашифрованный сеанс связи, база и смартфон «представляются» друг другу, но «договариваются» о параметрах сеанса они в открытом, незашифрованном виде. Устройство атакующего отслеживает этот процесс и очень точно выбирает момент, чтобы прислать уместный блок информации раньше, чем это сделает легитимная базовая станция. В результате модем жертвы обрабатывает вредоносные данные. В зависимости от модема и содержимого пакета информации, это приводит либо к переключению модема в сеть 4G с отказом заново подключаться к той же 5G-базе, либо к сбою и перезагрузке модема. Второе полезно, только если нужно кратковременно оставить жертву без связи, а вот первое позволяет применять все известные атаки на 4G для слежки.

Атака продемонстрирована на смартфонах OnePlus Nord CE 2, Samsung Galaxy S22, Google Pixel 7 и Huawei P40 Pro. В этих устройствах используются совершенно разные сотовые модемы: MediaTek, Qualcomm, Samsung и Huawei, но проблема кроется именно в особенностях стандарта, а не конкретных смартфонов. Отличия в нюансах: одни модемы можно перезагружать, а другие нельзя, в одних модемах вставить вредоносный пакет удается лишь в половине атак, а в других — в 90%.

 

View the full article

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Искусственный интеллект открывает не только новые возможности, но и новые угрозы. С помощью генеративного ИИ злоумышленники создают дипфейки и поддельные сайты, рассылают спам и даже притворяются родственниками и друзьями. Сегодня расскажем, как нейросети используют для мошенничества и фишинга, — и конечно же, поделимся советами о том, как обезопасить себя. Ну а подробный разбор фишинговых схем с использованием ИИ вы найдете на Securelist.
      Pig Butchering, кетфишинг и дипфейки
      ИИ-боты, притворяющиеся живыми людьми, активно используются злоумышленниками в романтических переписках — мошенники создают выдуманных персонажей и с их использованием одновременно общаются со множеством жертв, устанавливая с ними тесную эмоциональную связь. Подобная переписка может длиться неделями и даже месяцами, постепенно переходя от легкого флирта к обсуждению «выгодных инвестиционных схем», и заканчивается, разумеется, после того, как жертва вложит свои средства в мошеннические проекты. За счет длительного личного общения любые подозрения, которые могли возникнуть у жертвы, понемногу рассеиваются. Подобные схемы называются Pig Butchering, и мы уже подробно описывали их ранее, но если ранее они реализовывались за счет гигантских мошеннических ферм в Юго-Восточной Азии, на которых «работали» тысячи человек, то теперь для подобных разводок все чаще используется ИИ.
      , при котором скамеры создают поддельную личность или притворяются другим реальным человеком, с развитием нейросетей значительно упростился. Современные генеративные нейросети способны достаточно точно сымитировать чью-то внешность, голос и стиль письма. Злоумышленнику достаточно собрать публично доступную информацию о том или ином человеке, а затем «скормить» эти данные ИИ. Пригодится все: фото и видео, публичные посты и комментарии, информация о родственниках, хобби, возрасте и так далее.
      Поэтому, если к вам обращается родственник или друг, который почему-то пишет с нового аккаунта и, например, просит у вас денег в долг, — скорее всего, это вовсе не родственник и уж точно не друг. В подобном случае лучшее решение — связаться с реальным человеком по другому каналу, например по телефону, и спросить у него напрямую, все ли в порядке. Не повредит также задать несколько личных вопросов, ответы на которые злоумышленник не сможет найти в открытых источниках и даже в переписке.
      Но правдоподобная имитация другого человека в переписке — лишь часть проблемы: есть ведь еще и аудио- и видеодипфейки. Недавно мы рассказывали, как скамеры распространяют дипфейки популярных блогеров и криптоинвесторов в соцсетях: «знаменитости» приглашают подписчиков на персональные консультации, в «эксклюзивные» инвестиционные чаты, разыгрывают денежные призы и дорогие подарки.
      В самом деле, почему бы Дженнифер Энистон не разыграть MacBook?
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      В нашем блоге мы уже не раз рассказывали об уязвимостях в необычных гаджетах, будь то умные матрасы, роботы-пылесосы, аудиокнопки светофоров, детские игрушки, кормушки для животных и даже велосипеды. Но случай, о котором пойдет речь сегодня, пожалуй, один из самых экзотических. Не так давно исследователи кибербезопасности обнаружили две серьезнейшие уязвимости в приложениях для удаленного управления… секс-игрушками компании Lovense.
      В этой истории прекрасно все: природа уязвимых гаджетов, намерение компании-производителя потратить 14 месяцев (!) на устранение проблем, а также скандальные подробности, раскрывшиеся после публикации исследователями доклада о дырах в открытом доступе. Не будем тянуть и перейдем к описанию этой фантастической в своей абсурдности ситуации.
      Что входит в онлайн-инфраструктуру Lovense
      Первый факт, придающий этой истории необычность, в том, что производитель интимных игрушек Lovense ориентирован как на пары, находящиеся в отношениях на расстоянии, так и на моделей, работающих на стриминговых платформах в популярном жанре вебкам.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Команда исследователей из Швейцарской высшей технической школы в Цюрихе опубликовала научную работу, в которой показала, как можно совершить так называемый «побег из песочницы» при помощи атаки типа Spectre v2 в виртуальной среде. Имея доступ только к изолированной виртуальной машине, они смогли похитить ценные данные, которые в норме доступны только администратору сервера. Атака возможна на серверах, построенных на базе процессоров AMD, включая новейшие модели с архитектурой Zen 5, а также на процессорах Intel поколения Coffee Lake.
      Опасность атак типа Spectre для виртуальных сред
      Мы регулярно пишем о процессорных уязвимостях, связанных со спекулятивным выполнением инструкций, в которых штатные особенности «железа» используются для похищения секретов. Предыдущие публикации на эту тему, в которых подробно описывается общий принцип для таких атак, можно прочитать здесь, здесь и здесь.
      Впервые уязвимости такого типа были выявлены в 2018 году, и с тех пор исследователям ни разу не удалось показать сколько-нибудь реалистичную атаку с их использованием. Все работы сводились к идее, что в теории некая сложная таргетированная атака класса Spectre возможна. Более того, в большинстве научных работ на эту тему исследователи ограничивались простейшим сценарием атаки: берем компьютер, устанавливаем на него вредоносную программу и похищаем секреты с применением аппаратных особенностей процессора. Несостоятельность такого подхода заключается в том, что если уж кому-то удастся установить на ПК вредоносное ПО, то он сможет похитить данные тысячей других, куда более простых, способов. Из-за этого Spectre и подобные атаки вряд ли когда-то будут угрожать конечным устройствам. Однако, когда речь идет об облачных средах, списывать Spectre со счетов не стоит.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Опытным геймерам хорошо известно об угрозах, связанных с установкой игр, модов, скинов и другого геймерского ПО из неофициальных ресурсов. Однако источниками заражения могут быть и те платформы, которым пользователи привыкли доверять, — сайты разработчиков и официальные магазины.
      В нашем посте мы разберем несколько случаев, когда злоумышленники распространяли вредоносное ПО через официальные геймерские ресурсы. В конце расскажем, как защитить свою систему, лут и аккаунт — и спокойно играть, не опасаясь встретиться с неожиданными сюрпризами даже на привычных платформах.
      Зараженная утилита для настройки мыши Endgame Gear
      В июле 2025 года производитель продвинутых мышей, ориентированных на киберспортсменов и опытных геймеров, Endgame Gear сообщил о вредоносном ПО, которым была заражена утилита для настройки мыши OP1w 4k v2. Этот троян находился на официальном сайте компании почти две недели — с 26 июня по 9 июля 2025 года.
      На официальной странице игровой мыши модели Endgame Gear OP1w 4k v2 распространялась утилита настройки, зараженная вредоносным ПО. Источник
      Таким образом, пользователи, загрузившие в этот период утилиту с официальной страницы модели, получали вместе с ней вредоносное ПО. В Endgame Gear не уточнили, какая именно вредоносная нагрузка была в зараженной версии утилиты, но, судя по данным пользовательских сканирований, это был бэкдор семейства XRed.
      XRed обладает широким набором возможностей для удаленного управления зараженной системой. Он имеет функцию кейлоггера, а также позволяет злоумышленнику получать доступ к командной строке, делать скриншоты, просматривать содержимое дисков и папок, загружать и удалять файлы. Кроме того, зловред может скачивать дополнительные модули и передавать собранные данные о системе на удаленные серверы.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Вечером 15 сентября началась новая атака на популярнейший реестр JavaScript-компонентов, npm. Ряд пакетов, некоторые из которых имеют миллионы еженедельных загрузок, были заражены вредоносным кодом, крадущим токены и ключи аутентификации. Его самая интересная особенность – он способен распространяться автоматически, заражая другие доступные пакеты. Среди зараженных пакетов отметим популярный @ctrl/tinycolor. По данным Aikido Security были скомпрометированы почти 150 пакетов, включая пакеты Crowdstrike.
      Методика распространения и алгоритм работы
      Способ первого заражения и «нулевой пациент» на сегодня неизвестны. Поскольку «почерк» атаки очень похож на недавний инцидент s1ngularity, возможно, это тоже был фишинг. Но дальнейшая цепочка заражения такова:
      Вредоносный код добавляется в скомпрометированные пакеты в виде постинсталляционного скрипта, сохраненного в файле bundle.js. Когда жертва устанавливает себе зараженный пакет, скрипт начинает свою работу. В отличие от прошлого инцидента, скрипт кроссплатформенный и работает как в *nix-средах, так и под Windows. Скрипт скачивает подходящую для платформы версию TruffleHog, легитимного инструмента поиска секретов. TruffleHog находит в локальных файловых системах и доступных репозиториях строки с высокой энтропией. Это криптографические ключи, API-токены и другая подобная информация. Кроме поиска через TruffleHog, скрипт проверяет полезные токены, анализируя переменные окружения, например GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY. Затем он проверяет, действительны ли они, запросами к API-узлам npm whoami и GitHub user. Затем скрипт компрометирует пакеты npm, к которым у атакованного пользователя есть доступ на публикацию. Для этого он скачивает для заражаемого пакета его текущую версию из npm, увеличивает подверсию на 1, добавляет ссылку на постинсталляционный сценарий (postinstall hook) и записывает свою копию в файл bundle.js. Троянизированный таким образом пакет «новой версии» публикуется в npm. Репозитории жертвы помечаются как публичные, что иногда является отдельной, более важной утечкой.  
      View the full article
×
×
  • Создать...