Một hoạt động giám sát tinh vi đã được phát hiện, khai thác các lỗ hổng nghiêm trọng trong hạ tầng viễn thông toàn cầu để theo dõi trái phép vị trí của người dùng điện thoại di động. Cuộc tấn công này lợi dụng những điểm yếu trong giao thức SS7 (Signaling System No. 7) đã tồn tại hàng thập kỷ, vốn là nền tảng cốt lõi của các mạng di động quốc tế, bao gồm việc thiết lập cuộc gọi, gửi tin nhắn SMS, và quản lý chuyển vùng.
Các chuyên gia bảo mật tại Enea’s Threat Intelligence Unit đã xác định và công bố chi tiết về một biến thể kỹ thuật khai thác SS7 chưa từng được biết đến trước đây, đang được sử dụng trong thực tế.
Tổng quan về khai thác SS7 và TCAP
Cuộc tấn công tập trung vào việc thao túng lớp TCAP (Transaction Capabilities Application Part) của chồng giao thức SS7. TCAP đóng vai trò quan trọng ở lớp ứng dụng, cho phép truyền tải dữ liệu ứng dụng và xử lý các giao dịch phức tạp giữa các nút mạng. Đây là lớp giao thức hỗ trợ nhiều dịch vụ viễn thông giá trị gia tăng, không chỉ đơn thuần là truyền tải dữ liệu thoại hay tin nhắn.
Để che giấu các yêu cầu theo dõi vị trí độc hại, công ty giám sát này đã sử dụng một kỹ thuật mã hóa ít được biết đến, gọi là “extended tag encoding”. Kỹ thuật này khai thác sự linh hoạt của tiêu chuẩn mã hóa để thay đổi cách các trường dữ liệu được cấu trúc trong tin nhắn SS7. Điều này cho phép kẻ tấn công vượt qua các bộ lọc bảo mật mà các nhà mạng di động đã triển khai nhằm bảo vệ mạng lưới và quyền riêng tư của khách hàng.
Kỹ thuật che giấu thông tin định danh IMSI
Hoạt động khai thác này xoay quanh việc lạm dụng các lệnh ProvideSubscriberInfo (PSI). Các lệnh PSI là một phần của quy trình vận hành mạng lưới thông thường, được các nhà mạng di động sử dụng để truy vấn và xác định vị trí của thuê bao. Mục đích hợp pháp của các lệnh này bao gồm việc quản lý tài nguyên mạng, hỗ trợ chuyển vùng quốc tế, và phục vụ cho mục đích thanh toán dịch vụ dựa trên vị trí.
Tuy nhiên, trong cuộc tấn công này, công ty giám sát đã tạo ra các lệnh PSI với mã hóa bị làm sai lệch một cách có chủ đích. Mục tiêu chính là ẩn thông tin định danh của mục tiêu – IMSI (International Mobile Subscriber Identity) – khỏi sự phát hiện của các hệ thống bảo mật mạng. Trong hoạt động bình thường, các lệnh PSI chứa các trường IMSI được xác định rõ ràng, cho phép các hệ thống bảo mật xác minh tính hợp lệ và quyền hạn của yêu cầu.
Kẻ tấn công đã khai thác một tính năng ít được sử dụng trong đặc tả TCAP cho phép sử dụng “extended tag codes”. Bằng cách sử dụng các mã thẻ mở rộng này, chúng tạo ra các gói tin mà trường IMSI, mặc dù có mặt, lại trở nên gần như vô hình hoặc không thể phân tích đúng cách bởi các bộ lọc bảo mật thông thường.
Chi tiết kỹ thuật khai thác và mã hóa ASN.1 BER
Kỹ thuật khai thác này thao túng định dạng mã hóa ASN.1 BER (Basic Encoding Rules) được sử dụng rộng rãi trong các tin nhắn TCAP. ASN.1 là một ngôn ngữ mô tả dữ liệu trừu tượng, và BER là một trong những quy tắc mã hóa cụ thể để chuyển đổi các cấu trúc dữ liệu ASN.1 thành chuỗi byte có thể truyền qua mạng.
Trong định dạng mã hóa BER, mỗi phần tử dữ liệu thường được biểu diễn dưới dạng cấu trúc TLV (Tag-Length-Value). Mã ‘Tag’ xác định loại dữ liệu, ‘Length’ chỉ định kích thước của dữ liệu, và ‘Value’ chứa dữ liệu thực tế.
Đối với một trường IMSI chuẩn, được mã hóa theo cách thông thường, nó sẽ xuất hiện dưới dạng chuỗi byte sau:
30 12 80 08Chuỗi này có thể được giải thích như sau:
30: Đây là byte Tag, chỉ ra rằng phần tử dữ liệu này là một Sequence (một cấu trúc phức hợp bao gồm nhiều phần tử khác).12: Đây là byte Length, cho biết toàn bộ Sequence (bao gồm các phần tử con) có độ dài là 18 byte (thập phân).80: Đây là một byte Tag khác, thường được sử dụng như một tag context-specific để đại diện cho trường IMSI. Byte này nằm trong phạm vi của Sequence.08: Đây là byte Length của giá trị IMSI, chỉ ra rằng giá trị IMSI có độ dài là 8 byte.
Ngược lại, những kẻ tấn công sử dụng một định dạng mở rộng cho trường IMSI, làm cho nó xuất hiện như sau:
30 13 9f 00 08Phân tích chuỗi này:
30: Tương tự, đây là Tag cho một Sequence.13: Đây là Length của toàn bộ Sequence, với độ dài là 19 byte (thập phân), dài hơn 1 byte so với định dạng chuẩn.9f 00: Đây là điểm mấu chốt của kỹ thuật khai thác – một extended tag (mã thẻ mở rộng). Byte9fchỉ ra rằng đây là byte đầu tiên của một tag hai byte (hoặc nhiều hơn), và00là byte thứ hai, tạo thành tag9f 00. Mã thẻ này đại diện cho một loại dữ liệu context-specific khác, nhưng không phải là tag80điển hình cho IMSI.08: Đây là Length của giá trị sau extended tag, cũng là 8 byte.
Kỹ thuật này hoạt động hiệu quả bởi vì nhiều chồng phần mềm SS7 hiện có, đặc biệt là các hệ thống cũ, không được thiết kế để xử lý hoặc nhận diện đúng các mã thẻ mở rộng (extended tag codes) như 9f 00. Trong hơn 40 năm hoạt động của TCAP, các mã thẻ mở rộng như vậy hiếm khi được sử dụng trong các giao dịch thông thường. Do đó, khi các hệ thống bảo mật gặp phải những gói tin có định dạng này, chúng thường mặc định thực hiện hành vi cho phép (permissive behavior) để tránh làm gián đoạn các dịch vụ mạng. Điều này dẫn đến việc các yêu cầu độc hại được thông qua mà không bị phát hiện.
Tác động và những thách thức bảo mật
Phát hiện này một lần nữa nhấn mạnh sự dai dẳng của các lỗ hổng bảo mật trong hạ tầng viễn thông toàn cầu. Những vấn đề này vẫn tồn tại mặc dù ngành công nghiệp đã nhận thức được chúng trong nhiều năm. Các nhà mạng di động đã và đang triển khai nhiều biện pháp bảo mật khác nhau, bao gồm tường lửa SS7 chuyên dụng và các hệ thống lọc nâng cao để bảo vệ mạng lưới của mình.
Tuy nhiên, bản chất phi tập trung và sự phức tạp của hệ thống viễn thông quốc tế, với nhiều nhà mạng và quốc gia khác nhau kết nối thông qua SS7, khiến việc triển khai một lớp bảo vệ toàn diện trở nên vô cùng thách thức. Việc đảm bảo tất cả các điểm kết nối đều được bảo vệ và cập nhật đồng bộ là một nhiệm vụ khó khăn.
Các nhà nghiên cứu bảo mật cũng đã ghi nhận rằng một số kỹ thuật bypass SS7 hiệu quả khác đã liên tục xuất hiện kể từ năm 2017. Xu hướng này cho thấy những kẻ tấn công được tài trợ tốt tiếp tục đầu tư vào việc phát triển các phương pháp mới để vượt qua các biện pháp phòng thủ hiện có. Các cuộc tấn công sử dụng kỹ thuật này có khả năng định vị chính xác vị trí của các thiết bị di động ở bất kỳ đâu trên toàn cầu, miễn là nhà mạng của mục tiêu duy trì kết nối SS7 với các mạng quốc tế.
