Атаки, спрямовані на відмову в обслуговуванні, виявилися, мабуть, нічим не відрізняються, і лише 7,8 відсотка таких атак стали потужними. Використовувалася навіть система InsertSubscriberData, проте 99% повідомлень залишалися циклічними - тобто вони, безумовно, були відкинуті з мережі оператора. Відвідувачі та фільтрація мали значний вплив на результат - частка запитів з цих мереж була в рази меншою, ніж з решти, однак, залишитися захищеними від атак було неможливо. Відмова в обслуговуванні тепер є загрозою для пристроїв Інтернету речей. Тепер до комунікаційних мереж підключені не лише споживчі пристрої, але й компоненти міської інфраструктури, сучасні підприємства, енергетика, транспорт, а також інші бізнеси.

Як ми вже говорили, зловмисник може провести атаку на доступність абонента таким чином, що зв'язок може бути не відновлений навіть без звернення до служби підтримки, а час зазвичай перевищує три години.

 

Приклад атаки SS7:

 

Як вже згадувалося раніше, виконання лише заходів безпеки без застосування способу захисту недостатньо для протидії всім атакам, що використовують вразливості, і причини цього криються в архітектурі мереж SS7. Розглянемо конкретний випадок. Атака перетворилася на низку кроків, які процедура виявлення атаки зуміла об'єднати в послідовність, яка є правдоподібною, хоча техніка безпеки не змогла зрозуміти послідовність. Для початку зловмисники залишили успішну спробу знайти абонента IMSI. Отримавши інформацію для отримання активності, вони прагнули знайти абонента. На цьому пункт атаки зазнав краху. Зловмисники відправили петицію про реєстрацію абонента в мережі. Петиція була підтверджена мережею оператора. Вони могли перехоплювати вхідні телефонні дзвінки та SMS-повідомлення абонента, що і було їхньою метою. Чому б нам не розглянути кожен захід більш детально?

Процедура виявлення та реагування на небезпеку PT TAD розпізнала повідомлення SendRoutingInfoForSM, доставлені на зовнішньому сервері деяким абонентам домашньої мережі їхнього оператора. Ці повідомлення також були визнані сумнівними, що не дивно, оскільки у випадку дійсних дій за ними не було ретельного відстеження за допомогою SMS-повідомлень. Засоби масової інформації уважно стежили за кожним матеріалом про атаку на мережу через ProvideSubscriberInfo, яка була заблокована цією мережею. Навіть метод PT TAD виявив, що суміш SendRoutingInfoForSM разом з ProvideSubscriberInfo атакує з періодом всього в 2 хвилини, що означає, що пошук абонента завершено.

 

Висновок:

Як ми можемо легко помітити, багато мобільних операторів захищають свою маржу від SS7, переналаштовуючи мережеве обладнання та застосовуючи засоби домашньої маршрутизації SMS-повідомлень. Це дійсно може бути засобом протистояння SS7-атакам, однак, можливо, цього недостатньо для захисту мережі. Наше дослідження, а також клініка розслідувань безпеки демонструє, що існують шанси на проведення SS7-атак, які оминають подібні механізми захисту. Більше того, атаки є дещо прихованими, і їх важко виявити, починаючи з молодого періоду. Саме тому ми вважаємо, що мобільні оператори повинні брати участь у відстеженні безпеки зовнішніх відносин SS7, що заохочується сучасним фондом викриттів.