Powered By Blogger

Rechercher sur ce blogue

dimanche 15 septembre 2019

L’attaque Simjacker utilisée pour pister des internautes pendant au mois deux ans

L’attaque Simjacker utilisée pour pister des internautes pendant au mois deux ans


L’attaque baptisée Simjacker exploite les technologies de navigateur STK et S@T installées sur certaines cartes SIM.




Carte SIM, Hackers

L�attaque Simjacker utilisée pour pister des internautes pendant au mois deux ans
Des chercheurs en sécurité ont révélé  qu'une méthode d'attaque par SMS était utilisée par un vendeur de logiciels de surveillance pour suivre et surveiller des personnes.
"Nous sommes assez confiants pour affirmer que cet exploit a été développé par une société privée spécifique qui collabore avec les gouvernements pour surveiller les individus", ont déclaré des chercheurs en sécurité d'AdaptiveMobile Security dans un rapport publié hier.
"Nous pensons que cette vulnérabilité est exploitée depuis au moins 2 ans par un acteur hautement sophistiqué et présent dans plusieurs pays, principalement à des fins de surveillance."
Les chercheurs ont décrit cette attaque comme "un énorme bond en complexité et en sophistication" par rapport aux attaques précédemment observées sur les réseaux mobiles et "une augmentation considérable des compétences et des capacités des attaquants".

Comment fonctionne Simjacker ?

Simjacker nécessite que l’attaquant utilise tout d’abord un smartphone, un modem GSM ou tout service A2P (application à personne) pour envoyer un SMS au numéro de téléphone d'une victime.

Ces messages SMS contiennent des instructions SIM Toolkit (STK) masquées, prises en charge par le navigateur S@T de l’appareil, une application qui réside sur la carte SIM plutôt que sur le téléphone.
Le navigateur S@T et les instructions STK sont une ancienne technologie prise en charge sur certains réseaux mobiles et leurs cartes SIM. Ils peuvent être utilisés pour déclencher des actions sur un appareil, telles que le lancement de navigateurs, la lecture de sons ou l'affichage de fenêtres contextuelles. À l’âge des réseaux de téléphonie mobile, les opérateurs utilisaient ces protocoles pour envoyer aux utilisateurs des offres promotionnelles ou fournir des informations de facturation.
Cependant, AdaptiveMobile explique que les attaques de Simjacker ont révélé une nouvelle utilisation abusive de ce mécanisme, qui vise à ordonner aux téléphones des victimes de transmettre des données de localisation et des codes IMEI, que la carte SIM envoie ultérieurement via un message SMS à un appareil tiers. Cette technique permet aux attaquants de géolocaliser la victime.
Pour ne pas arranger les choses, l'attaque Simjacker est complètement silencieuse. Les victimes ne voient aucun message SMS dans leur boîte de réception ou leur boîte d'envoi. Cela permet aux attaquants de bombarder continuellement les victimes avec des SMS et de suivre leurs déplacements à l’envi.
De plus, comme Simjacker exploite une technologie résidant sur la carte SIM, l’attaque fonctionne indépendamment du type de terminal de l’utilisateur.
"Nous avons observé que des appareils de presque tous les fabricants étaient visés avec succès pour récupérer la géolocalisation des appareils. Les téléphones Apple, ZTE, Motorola, Samsung, Google, Huawei et même les objets connectés avec cartes SIM ont fait partie des cibles", ont déclaré des chercheurs.
La seule bonne nouvelle est que l'attaque ne repose pas sur des messages SMS normaux, mais sur un code binaire plus complexe, envoyé sous forme de SMS, ce qui signifie que les opérateurs de réseau doivent pouvoir configurer leur équipement pour bloquer ces messages.

Des attaques effectives détectées

AdaptiveMobile n’ayant pas donné le nom de la société à l’origine de ces attaques,il est impossible de savoir si cette vulnérabilité est utilisée pour traquer des criminels ou des terroristes, ou si elle est utilisée pour traquer des dissidents, des journalistes ou des opposants politiques.
Néanmoins, AdaptiveMobile a déclaré que les attaques de Simjacker se produisent quotidiennement, en grand nombre.
Dans la plupart des cas, les numéros de téléphone sont suivis plusieurs fois par jour, pendant de longues périodes.
Cependant, des chercheurs ont déclaré que quelques numéros de téléphone avaient été suivis cent fois sur une période de 7 jours, suggérant qu'ils appartenaient à des cibles spécifiques.

"Ces modèles et le nombre de messages envoyés indiquent qu'il ne s'agit pas d'une opération de surveillance de masse, mais bien d’une opération conçue pour suivre un grand nombre d'individus à diverses fins, les objectifs et les priorités évoluant avec le temps", ont déclaré des chercheurs d'AdaptiveMobile.

Simjacker est le résultat d'améliorations apportées aux réseaux mobiles

Le mystère plane donc sur le réel développeur de cette attaque, mais AdaptiveMobile déclare que la société privée à l’origine de l’attaque était un expert dans le domaine.
"En plus de produire ce logiciel espion, cette même société dispose également d'un accès étendu aux réseaux SS7 et Diameter, car nous avons vu certaines des victimes de Simjacker être ciblées à l'aide d'attaques sur le réseau SS7, avec l'utilisation de méthodes d'attaque SS7 comme méthode de secours lorsque les attaques de Simjacker ne fonctionnaient pas ", a déclaré AdaptiveMobile.
"Nous pensons que l'attaque Simjacker a évolué pour remplacer directement les capacités que les attaquants des réseaux mobiles avaient perdues lorsque les opérateurs ont commencé à sécuriser leurs infrastructures SS7 et Diameter", ont déclaré des chercheurs.
Cependant, alors que les attaques sur les protocoles SS7 et Diameter impliquaient une connaissance approfondie des protocoles de réseau mobile et des équipements coûteux, l’attaque de Simjacker est beaucoup plus simple et moins chère. Selon un chercheur, il suffirait d'un modem GSM à 10 dollars et du numéro de téléphone de victime.

Protocole antique, sécurité en toc

La vulnérabilité au cœur de l'attaque de Simjacker aurait pu être facilement évitée si les opérateurs de téléphonie mobile avaient fait preuve de retenue dans le code qu'ils ont implémenté sur leurs cartes SIM.
"Le logiciel S@T Browser n'est pas bien connu, il est assez ancien et son objectif initial était d’offrir des services tels que l'obtention du solde de votre compte via la carte SIM", ont déclaré des chercheurs.
"Globalement, sa fonction a été en grande partie remplacée par d'autres technologies. Ses spécifications n'ont pas été mises à jour depuis 2009. Cependant, comme de nombreuses technologies traditionnelles, elles sont toujours utilisées."
AdaptiveMobile a déclaré que la technologie S@T Browser était active sur le réseau des opérateurs de téléphonie mobile dans au moins 30 pays du monde. Les chercheurs ont indiqué que ces pays ont une population cumulée de plus d'un milliard de personnes, qui sont toutes exposées à cette méthode de surveillance silencieuse. Selon une source qui a parlé à ZDNet, les pays concernés se situent dans la région MENA (Moyen-Orient, Afrique du Nord) et quelques-uns en Asie et en Europe de l'Est.
En outre, la technologie S@T Browser prend en charge plus que les commandes exploitées par les attaquants - à savoir celles qui consistent à récupérer des données de localisation et des codes IMEI, et à envoyer un message SMS.
D'autres commandes prises en charge par le navigateur S@T incluent la possibilité de passer des appels, d'éteindre les cartes SIM, d'exécuter des commandes de modem AT, d'ouvrir des navigateurs (avec des liens de phishing ou sur des sites dotés d'un code malveillant), etc.
AdaptiveMobile indique que cette technologie et cette attaque pourraient servir à autre chose qu'à la surveillance, et que d'autres acteurs pourraient également en abuser. Par exemple, Simjacker pourrait également être utilisé pour des campagnes de désinformation (pour l'envoi de SMS / MMS avec un contenu factice), pour des fraudes financières ( via la composition de numéros payants), pour l'espionnage (pour lancer des appels et écouter les conversations à proximité) et pour le sabotage (en désactivant la carte SIM de la cible), parmi beaucoup d’autres.
Les attaques Simjacker ne sont pas nouvelles. Il s’agit juste de l’exploitation par un acteur malveillant des technologies STK. Ces attaques sont connues, au moins sur le plan théorique, depuis 2011 : le chercheur en sécurité roumain Bogdan Alecu décrivait pour la première fois comment un acteur malveillant pouvait utiliser les commandes STK pour inscrire des utilisateurs à des services payants [1, 2].
L'équipe de recherche AdaptiveMobile présentera davantage d'informations sur les attaques de Simjacker lors de la conférence sur la sécurité VirusBulletin 2019 qui se tiendra à Londres en octobre prochain.
Source : Simjacker attack exploited in the wild to track users for at least two years

Aucun commentaire: