Anssi ujawnia cyberzagrożenia dla telekomunikacji

Wyciek danych osobowych, operacje sabotażowe, oszustwa komunikacyjne - francuska agencja ds. cyberbezpieczeństwa opracowała alarmujący przegląd zagrożeń dla sektora telekomunikacyjnego. Przytacza też kilka przykładów.

Chociaż francuska krajowa agencja ds. bezpieczeństwa systemów informatycznych nazywa ten sektor "superkrytycznym", w swoim raporcie stwierdza, że w ciągu ostatnich trzech lat została poinformowana o ponad 150 naruszeniach bezpieczeństwa w sektorze telekomunikacyjnym. Prawie pięćdziesiąt z nich wymagało jej interwencji.

Dwie trzecie zdarzeń dotyczyło strategicznych firm w sektorze, a niektóre z nich wymagały poważnych działań operacyjnych ze strony Anssi.

Agencja identyfikuje trzy główne rodzaje zagrożeń. Jej zdaniem największe obawy budzą operacje szpiegowskie obejmujące wycieki danych.

"Atakujący rzekomo powiązani z chińskimi i irańskimi interesami strategicznymi są udokumentowani jako bardzo aktywni w tym obszarze", chociaż historie incydentów pokazują, że sektor jest regularnie atakowany przez bardziej zróżnicowane podmioty strategiczne.

Naruszenie bezpieczeństwa sieci bazowej

W ostatnich latach agencja zaobserwowała alarmujący wzrost liczby ataków na sprzęt, w szczególności routery w sercu sieci operatorów. Te wysoce wyrafinowane ataki są często przeprowadzane przez długi czas i są trudne do wykrycia. Naruszają one integralność sieci operatorów i dają atakującym bezpośredni dostęp do komunikacji strategicznych organizacji i osób. Wpływa to na poufność wymienianych danych.

Sprzęt satelitarny jest również wykorzystywany przez niektóre grupy powiązane z Rosją do przeprowadzania ataków szpiegowskich na cele na całym świecie. W przypadku Turla MOA celem jest przechwytywanie adresów IP urządzeń końcowych i przechwytywanie ruchu, często niezaszyfrowanego, z satelitów do terminali. Przestępcy wykorzystują słabości protokołów bez narażania sprzętu satelitarnego.

Destabilizacja

Innym rodzajem zagrożenia są ataki destabilizacyjne. Tym razem są one przeprowadzane głównie przez hakerów, którzy angażują się w DDoS, szantaż i ujawnianie danych osobowych związanych z żądaniami politycznymi.  "Operacje sabotażowe na dużą skalę nadal stanowią poważne zagrożenie dla sektora" - mówi Anssi.

Atak na sieć komunikacji satelitarnej KA-SAT w noc rosyjskiej inwazji na Ukrainę w lutym 2022 r. pokazał konsekwencje operacji sabotażowej na dużą skalę. Przypisywany Rosji, spowodował wyłączenie kilkudziesięciu tysięcy modemów.

Fałszywe anteny repeaterów

Na koniec Anssi wspomina o atakach w celu osiągnięcia korzyści finansowych, które są szeroko rozpowszechnione w sektorze telekomunikacyjnym. Znaczna ich część wiąże się z oszustwami telekomunikacyjnymi. Abonenci są przekierowywani na numery o podwyższonej opłacie bez ich wiedzy lub stają się ofiarami oszustw, gdy cyberprzestępcy przypisują im krajowe numery telefonów.

Przypadki spamu lub phishingu SMS są również powiązane z fałszywymi stacjami bazowymi telefonii komórkowej wykorzystywanymi do masowego wysyłania wiadomości na telefony komórkowe znajdujące się w określonym obszarze geograficznym.

Z kolei klienci biznesowi są atakowani na urządzenia wewnętrzne, takie jak stacje automatyczne lub centrale PBX. Wykorzystując znane luki w zabezpieczeniach, atakujący mogą wykonywać połączenia, a nawet tworzyć efemeryczne tanie międzynarodowe usługi komunikacyjne sprzedawane przez Internet przy użyciu sieci firmy będącej ofiarą.

Sektor nadkrytyczny

Oprócz pośredniego ryzyka utraty reputacji, operatorzy są również narażeni na ataki oportunistyczne oparte na masie przechowywanych przez nich danych osobowych. Zniknięte dane są następnie odsprzedawane przez cyberprzestępców lub wykorzystywane w atakach ransomware w celu szantażowania ich do ujawnienia swoich danych.

Rozmiar sieci operatorów i ich heterogeniczność w wyniku kolejnych przejęć, a także nagromadzenie znacznego długu technicznego, komplikują ich bezpieczeństwo i sprawiają, że jeszcze ważniejsze jest rozważenie zagrożeń wymierzonych w ten sektor. Sektor ten jest określany jako "superkrytyczny" ze względu na systemowe konsekwencje, jakie incydent może mieć dla tego typu infrastruktury.