Следят ни всички комуникации чрез офиса на офшорка в София: Биволъ

двуфакторно удостоверяване, изпратени чрез SMS. За телекомуникационните оператори е трудно и скъпо да различават злонамерения трафик от доброкачественото поведение, което прави тези атаки трудни за блокиране.

Днес SS7 се използва предимно в 2G и 3G мобилните мрежи (4G мрежите използват по-новия протокол Diameter). Една от основните функции на SS7 в тези мрежи е обработката на роуминг, където абонат на “домашна мрежа” може да се свърже с различна “посетена мрежа”, като например при пътуване в чужбина. В този случай SS7 се използва за обработка на пренасочване на телефонни обаждания и SMS текстови съобщения до “посетена мрежа”. Въпреки че протоколът Diameter на 4G включва функции за удостоверяване и контрол на достъпа, те са по избор. Освен това необходимостта от Diameter мрежи за свързване с SS7 мрежите също предизвиква и проблеми със сигурността. Налице е широко разпространената загриженост, че 5G технологиите и други постижения ще наследят рисковете от тези по-стари системи.

Circles

Докато компаниите, които продават системи за експлоатация на глобалната клетъчна система са склонни да работят в тайна, една компания се очертава като известен играч: Circles. Компанията е създадена през 2008 г., придобита през 2014 г. от Francisco Partners, след което се слива с NSO Group. Circles е известна с продажбата на системи за използване на SS7 уязвимости и твърди, че продава тази технология изключително на национални държави.

За разлика от Pegasus spyware на NSO Group, механизмът SS7, чрез който се твърди, че работи продуктът на Circles, няма очевиден подпис на целевия телефон, като например насочването на SMS с цел да се нанесе злонамерен линк, който понякога се намира на телефон, насочен към Pegasus.

Повечето проучвания на Circles разчитат на вътрешна информация и разузнаване с отворен код, а не на технически анализ. Например разследване от 2016 г. на нигерийския вестник Premium Times разкри, че двама държавни лидери в Нигерия са придобили системите на Circles и ги използват, за да шпионират политически опоненти. В единия случай системата е инсталирана в резиденцията на един от въпросните властници. Нашето проучване откри две системи на Circles в Нигерия.

Документи, подадени като част от съдебно дело срещу NSO Group в Израел показват имейли, разменени между Circles и няколко клиенти в ОАЕ. Те показват изпращане на местоположение на обекти и телефонни записи (Call Detail Records или CDRs) от Circles до Върховния съвет на ОАЕ за национална сигурност (SCNS), очевидно като част от демонстрация на продукта. Имейлите показват и, че прихващането на телефонни разговори на чужда цел има по-голям шанс за успех, когато целта е роуминг.

Същите документи обясняват някои аспекти на работата на системата Circles. SCNS е с нагласата да получи две отделни системи: самостоятелна, която може да се използва за местни прихващания и друга отделна система, свързана със “Circles Cloud” ( с договори за роуминг по света), която може да се използва за прихващания извън ОАЕ, ако желае.

През 2015 г. Intelligence Online предлага на Circles да стартира фалшива телефонна компания, наречена “Circles България”, за да улесни прихващането на хора по целия свят. Неотдавна докладът на Forensic News от 2020 г. повдигна въпроси за истинския бизнес на FloLive, за която се предполага, че е компания за връзка с интернет. Forensic News откри, че FloLive се е свързала със Circles и предлага компанията да бъде “лице за хакерите и частните шпиони зад Circles”.

Има и ограничена информация за това как системата Circles се интегрира с водещия шпионски софтуер Pegasus spyware на NSO Group, въпреки, че бивш служител на NSO Group посочил, че дънната платка на Pegasus има “ужасна интеграция с Circles и че Circles “преувеличават способностите на тяхната система”.

2. Снемане на дигитални отпечатъци и сканиране за Circles

Докато търсихме с Shodan (първата в света търсачка за свързани с интернет устройства, бел.ред.), се натъкнахме на интересни резултати в AS200068, блок от IP адреси, регистрирани в Circles Bulgaria. (Снимка 2). Тези резултати показват имена на хостове на защитните стени, произведени от Check Point, както и имена на хостове на SmartCenter екземпляра на защитната стена. SmartCenter може да се използва за централизирано управление на множество защитни стени с Check Point.

Резултати от Shodan за защитните стени на контролния център на AS200068 (Circles България Ltd).

Сред регистрираните хостове в SmartCenter в Circles, AS200068 съдържа домейна с име tracksystem.info. Изглежда ясно, че tracksystem.info е свързан със Circles, тъй като изтекли документи разкриват служителите на Circle, комуникиращи от @tracksystem.info имейл-адреси. Освен това, за RiskIQ, 17 от 37-те IP адреса, посочени от tracksystem.info или неговите поддомейни, са в AS200068, както и AS60097, също регистрирани в Circles Bulgaria.

Търсихме Check Point защитни стени с хост в SmartCenter, съдържащи tracksystem.info в Shodan, Censys, Fofa, и sonar-ssl данни в Rapid7. Търсихме и IP адреси, които връщат особено “случайни” TLS сертификати, съвпадащи със следвания регулярен израз, като видяхме тези сертификати върнати от Check Point защитната стена с tracksystem.info в техните имена на хостовете в SmartCenter:

Като цяло идентифицирахме 252 IP адреса в 50 ASN, съответстващи на нашите цифрови отпечатъци. Много от тях имат поле “Firewall Host”, привидно показващо, че системите са били клиентски, например client-circles-thailand-nsb-node-2, въпреки, че някои използват думата telco на мястото на клиента, а някои са по-скоро родово име, отколкото име на клиент, например, cf-00-182-1. В случаите, когато идентифицирахме Check Point защитни стени в Circles на доставчик на Transit/Access ISP (т.е. интернет доставчик на не-център за данни ISP), допуснахме, че някои агенции на правителството на съответната държава са били клиент на Circles.

Някои от клиентите, които идентифицирахме, имат никнейм с две думи, като първата е марка на автомобил, която почти винаги съвпада с първата буква на държавата на очевидния клиент. Например, защитните стени на Circles, чиито IP адреси са с геолокации в Мексико, се наричат “Mercedes”, тези в Тайланд са “Toyota”, други с геолокации до Абу Даби се наричат “Aston”, а в Дубай са “Dutton”.

Използването на марки на автомобили за обозначаване на клиенти е съобщено за първи път от израелския в. „Haaretz“, макар, че в доклада се посочва, че това е практика на NSO Group, а не на “Circles”. „Haaretz“ съобщава следните кодови имена: Саудитска Арабия е “Subaru”, Бахрейн е “BMW”, а Йордания е “Jaguar”. Нашите проучвания не разкриха никакви Check Point защитни стени, свързани със Circles под имената Subaru или Jaguar, въпреки че ние идентифицирахме защитни стени с името “BMW” с локация в Белгия.

3. Списък на глобалното внедряване на Circles

От 252 IP адреса, които открихме в 50 ASN, ние идентифицирахме 25 правителства, които са вероятни клиенти на Circles. Идентифицирахме и 17 специфични правителствени клонове, които изглежда са клиенти на Circles, базирани в WHOIS, пасивни DNS и с история на сканирани данни от IP адреси на Check Point защитна стена на IP или на техните съседи.

Австралия, Белгия, Ботсвана (Дирекция за разузнаване и сигурност), Чили (Разследваща полиция), Дания (Военно командване), Еквадор, Ел Салвадор, Естония, Екваториална Гвинея, Гватемала (Генерална дирекция за гражданско разузнаване), Хондурас (Национална дирекция за разследване и разузнаване), Индонезия, Израел, Кения, Малайзия, Мексико (Мексиканска флота; Щат Дуранго), Мароко (Министерство на вътрешните работи), Нигерия (Агенция за разузнаване по отбраната), Перу (Национална разузнавателна дирекция), Сърбия (Агенция за информационна сигурност), Тайланд (Управление на операциите по вътрешна сигурност; Батальон за военно разузнаване; Бюро за борба с наркотиците), Обединените арабски емирства (Върховен съвет по национална сигурност; правителството на Дубай; (Royal Group), Виетнам, Замбия и Зимбабве.

Докато анализът ни доведе до категорични резултати от страните, усилията ни да определим самоличността на клиентите в някои случаи не се увенчаха с пълен успех.

Държави, които вероятно имат поне един клиент на Circles.

Натъкнахме се и на поне четири системи, които не можахме да свържем с конкретна държава.

4. Фокус – разгръщането на Circles

Нашите изследвания идентифицираха присъствие в 25 държави. В няколко случая успяхме да стигнем по-далеч и да идентифицираме технически елементи, сочещи към конкретен държавен клиент с различна степен на сигурност. В редица случаи правителството като цяло или правителственият клиент в частност имат история на злоупотреба с технологии за наблюдение и нарушения на правата на човека.

Ботсвана

Идентифицирахме две системи Circles в Ботсвана: една без име и друга на име Bentley Bullevard, която изглежда се управлява от Дирекцията за разузнаване и сигурност (DISS) в страната, тъй като TLS сертификати, използвани в Check Point защитната стена, бяха подписани със собствен сертификат TLS за “CN= sid.org.bw”, което е име на домейн, използван от Дирекцията за разузнаване и сигурност.