Что такое SS7 и почему он до сих пор используется? SS7 (Signaling System No. 7) — это набор телефонных протоколов, разработанных в 1975 году и стандартизированных ITU-T в 1980-х. Его главная задача — обеспечивать «разговор» между телефонными сетями разных операторов: маршрутизацию звонков, SMS, роуминг и биллинг.
Ключевая проблема в том, что SS7 проектировался в эпоху, когда телефонных операторов в мире было буквально несколько десятков, все они были государственными, а понятие «внешний злоумышленник» попросту не рассматривалось как угроза. Протокол работает по принципу доверия по умолчанию: любой узел сети считается легитимным участником.
Сегодня к глобальной сети SS7 подключены тысячи операторов по всему миру, включая виртуальных (MVNO), и это превращает изначально закрытую систему в потенциально открытую для атак.
Архитектура SS7: как это работает изнутри?
Чтобы понять уязвимости, нужно понять архитектуру:
Основные компоненты:
- MSC (Mobile Switching Center) — коммутатор мобильной сети, управляет звонками
- HLR (Home Location Register) — база данных абонента, хранит профиль, текущее местоположение, статус
- VLR (Visitor Location Register) — временная база данных в роуминге
- SMSC (SMS Center) — центр обработки SMS-сообщений
- GMLC (Gateway Mobile Location Center) — шлюз для запросов геолокации
Взаимодействие между этими компонентами происходит через MAP-протокол (Mobile Application Part), который и является основным вектором атак. MAP-сообщения не содержат механизмов аутентификации отправителя — именно здесь корень всех проблем.
Классификация атак на SS7
1. Атаки на геолокацию (Tracking)
Это наиболее распространённый класс атак. Злоумышленник отправляет в сеть MAP-запрос SendRoutingInfoForSM (SRI-SM) — это легитимный запрос, который SMSC использует для доставки SMS. В ответ HLR возвращает:
- IMSI абонента
- адрес обслуживающего MSC/VLR
Зная адрес MSC, можно определить страну и город. Для точной геолокации применяется ProvideSubscriberInfo (PSI) — запрос, который возвращает координаты соты, где находится телефон.
Точность такого отслеживания — от нескольких сотен метров (плотная городская застройка) до нескольких километров (сельская местность).
2. Перехват SMS (SMS Interception)
Это наиболее чувствительная с точки зрения безопасности атака, потому что SMS используется как второй фактор аутентификации в банках, мессенджерах и почте.
Механизм атаки:
Атакующий регистрирует телефонный номер жертвы в поддельном VLR как бы в роуминге. Для этого используется MAP-команда UpdateLocation. После этого все входящие SMS начинают маршрутизироваться через инфраструктуру атакующего. Жертва при этом может ничего не замечать — звонки продолжают работать, а перехватчик получает копию каждого SMS.
Именно через эту атаку в 2017 году исследователи из Positive Technologies продемонстрировали перехват SMS-кода двухфакторной аутентификации онлайн-банка в прямом эфире.
3. Перехват голосовых звонков (Call Interception)
Схема сложнее SMS-перехвата и требует больше ресурсов:
- Атакующий манипулирует
SendRoutingInfo(SRI), получая маршрутную информацию - С помощью
RegisterSSменяет параметры переадресации вызовов (Call Forwarding Unconditional, CFU) жертвы - Входящий звонок переадресуется на VoIP-сервер атакующего, который записывает разговор и параллельно соединяет с настоящим получателем
Жертва при этом принимает звонок как обычно, и единственным признаком атаки может быть небольшая задержка соединения.
4. Атаки типа «отказ в обслуживании» (DoS)
Используя CancelLocation — команду, которая легитимно применяется при смене оператора или переезде абонента — атакующий может принудительно отключить телефон жертвы от сети. Устройство будет показывать «нет сети» или переходить в режим поиска сигнала.
Другой вектор — PurgeMS, который удаляет запись абонента из HLR, фактически временно «выписывая» номер из сети.
5. Fraud-атаки (мошенничество)
Менее известный, но финансово значимый класс: манипуляция биллинговыми запросами. Атакующий может изменять данные роуминговых сессий через InsertSubscriberData, что позволяет либо списывать средства с чужих счетов, либо уклоняться от оплаты услуг.
Кто проводит SS7-атаки?
На основе публичных отчётов и расследований можно выделить несколько категорий акторов:
Государственные структуры и спецслужбы — наиболее технически оснащённые. Документы Сноудена подтвердили, что АНБ США использовало уязвимости сигнальных сетей для слежки. Аналогичный инструментарий имеется у большинства развитых стран.
Коммерческие компании наблюдения — продают «легальные» системы мониторинга правительствам. Компании вроде NSO Group (известна продуктом Pegasus) используют SS7 как один из инструментов в цепочке атак.
Киберпреступники — используют SS7 преимущественно для обхода двухфакторной аутентификации в финансовых мошенничествах. Доступ к SS7 можно арендовать через даркнет — стоимость зависит от страны и конкретного оператора.
Исследователи безопасности — работают легально, выявляют уязвимости и публикуют результаты на конференциях (DEF CON, Black Hat, PHDays).
Реальные случаи эксплуатации
2014 год, Германия — исследователь Тобиас Энгель и команда SR Labs публично продемонстрировали на конгрессе CCC возможность глобального отслеживания любого абонента через SS7. Это стало первым широким публичным раскрытием проблемы.
2017 год, Германия — клиенты немецкого банка O2-Telefónica потеряли деньги из-за того, что мошенники перехватили SMS с одноразовыми паролями через SS7-атаку. Это был первый задокументированный случай реального финансового ущерба от SS7-fraud в Европе.
2018 год, США — сенатор Рон Уайден обратился к крупнейшим операторам с требованием объяснить, почему они не защищают сеть от SS7-атак, после того как журналисты показали, как можно отследить телефон конгрессмена.
2019–2021 годы — серия инцидентов в Африке и на Ближнем Востоке, где SS7-атаки применялись для слежки за журналистами и активистами.
Почему проблема не решается десятилетиями?
Это системная проблема нескольких уровней:
Экономический фактор. Замена SS7 на современный протокол Diameter (используется в сетях 4G/5G) требует огромных инвестиций. При этом Diameter унаследовал многие архитектурные проблемы SS7 — доверие по умолчанию никуда не делось.
Отсутствие глобального регулятора. Телекоммуникации регулируются национально. Даже если один оператор закроет уязвимости, атаку можно провести через оператора в стране с мягким регулированием.
Коммерческие интересы. Часть SS7-функций, которые можно использовать для атак (геолокация, переадресация), активно монетизируется легальными способами — рекламные сети, сервисы определения местоположения для банков и т.д.
Легаси-инфраструктура. Многие операторы в развивающихся странах используют оборудование 20-летней давности, которое физически не поддерживает современные средства защиты.
Как защититься: что могут сделать операторы и пользователи?
На уровне операторов:
- Фильтрация MAP-сообщений по категориям — блокировка подозрительных запросов от внешних сетей (например, запросы PSI от чужих операторов)
- SMS Home Routing — все входящие SMS проходят через специальный шлюз, который скрывает IMSI абонента от внешних запросов
- Мониторинг аномалий — системы класса SS7 Firewall анализируют паттерны запросов и блокируют нетипичное поведение
- GSMA FS.11 и FS.19 — рекомендации отраслевой ассоциации по безопасности сигнальных сетей
На уровне пользователя:
Возможности защиты на уровне конечного пользователя крайне ограничены — вы не контролируете инфраструктуру оператора. Тем не менее:
- Не используйте SMS как единственный второй фактор для критически важных аккаунтов — предпочитайте TOTP-приложения (Google Authenticator, Authy) или аппаратные ключи (YubiKey)
- Используйте мессенджеры с E2E-шифрованием (Signal, WhatsApp) для чувствительных коммуникаций — даже если SMS перехвачен, зашифрованный мессенджер атака на SS7 не компрометирует
- Обращайте внимание на аномалии — внезапная потеря сети на длительное время без очевидных причин может быть признаком атаки
- Уточняйте у своего оператора наличие SS7-фаервола — ряд операторов публично заявляет о внедрении защитных мер
Будущее: SS7 и 5G
5G использует протокол HTTP/2 + TLS на прикладном уровне (архитектура SBA — Service Based Architecture), что теоретически закрывает многие классические SS7-атаки. Однако:
- Переход на 5G займёт минимум 10–15 лет — SS7 и 4G/Diameter никуда не денутся
- Сети 5G обратно совместимы с 4G и 3G, а значит, уязвимости нижних уровней остаются актуальными
- Исследователи уже нашли атаки, специфичные для 5G-окружения (например, атаки на процедуру SUPI/SUCI)
SS7 — это не баг, который можно быстро исправить патчем. Это архитектурное наследие, с которым телеком-индустрия будет сосуществовать ещё долгое время.
Материал носит образовательный характер и предназначен для специалистов по информационной безопасности, журналистов и всех, кто хочет понимать реальные угрозы в телекоммуникационной инфраструктуре.