Введение
Число пользователей мобильных устройств по всему миру огромно. Согласно отчёту Facts and Figures 2023, опубликованном Международным союзом электросвязи (МСЭ) в ноябре 2023 года, доля владельцев мобильных телефонов среди населения мира в возрасте 10 лет и старше составляет 78%, а охват мобильной широкополосной связью 3G и выше среди всего населения мира составляет 95%. Смартфоны больше не ограничиваются традиционной коммуникационной функцией операторов, а становятся основным средством для ежедневных покупок, развлечений, социального взаимодействия, учебы и бытовых услуг. Они также являются узлами для мобильных офисов и даже идентификационными токенами для доступа к различным государственным и корпоративным сетям.
Но в то же время мобильные смарт устройства, такие как мобильные телефоны, таят в себе огромные риски кибербезопасности. По сравнению с традиционными ПК, они обладают более широкими возможностями распознавания и оснащены высокоточными датчиками, а также устройствами сбора информации, такими как камеры и микрофоны. Посредством сбора и анализа источников данных на устройстве можно проводить целенаправленный, точный портретный анализ личной трудовой и жизненной деятельности, поведенческих привычек, психологических характеристик, социальных отношений и окружающей среды, и даже управлять мобильным телефоном посредством использования уязвимостей и доставки вредоносного ПО, чтобы осуществлять всестороннее прослушивание телефонных разговоров и скрытое наблюдение за его владельцем. Скомпрометированный мобильный телефон — это как «жучок на ногах». Куда бы он ни пошёл, никакие секреты не могут быть сохранены: всё прозрачно для нападающего, смотрящего с позиции «Всевидящего ока». Смарт-устройства, таких как мобильные телефоны, которые используются в окружении мобильных офисов, однажды будучи скомпрометированными, могут привести к утечке чувствительных данных всей сети. Более того, они могут стать точкой входа и трамплином для вторжения во внутренние сети государственных и корпоративных структур.
Мобильные смарт устройства, такие как мобильные телефоны, были востребованы спецслужбами США с момента их появления из-за огромной ценности содержащихся в них информационных ресурсов. За последние два десятилетия основная проблема, с которой сталкиваются операторы глобальной критической информационной инфраструктуры, поставщики средств защиты и исследователи в области кибербезопасности, было выявление, анализ и реагирование на кибератаки, осуществляемые американскими разведывательными структурами, такими как Агентство национальной безопасности США (АНБ) и Центральное разведывательное управление (ЦРУ).
По сравнению с традиционными ПК, мобильные смарт устройства, такие как мобильные телефоны имеют более широкий спектр уязвимостей и векторов атаки, включая уровень конечного устройства, связанный с аппаратным обеспечением, прошивкой, операционной системой и приложениями, данными на уровне информационного взаимодействия, связанном с интерфейсами передачи данных, Wi-Fi, Bluetooth, сотовыми сетями, геолокационными службами, такими как GPS, и т. д. В то же время безопасность системы мобильного телефона связана со сложной системой обеспечения программными и аппаратными средствами, промышленной экосистемой приложений, передачей сигналов операторами связи, а также хранением и агрегированием данных крупными интернет-платформами. Это звенья, которыми очень дорожат разведывательные службы США и которые являются ключевыми целями для атак.
Настоящий доклад собирает большое количество раскрытой информации и аналитических данных из отрасли и научного сообщества о разведывательной деятельности в сети, осуществляемой разведывательными службами США против умных мобильных устройств (см. рисунок ниже). Он классифицирован и интегрирован с точки зрения конечного оборудования, коммуникационной инфраструктуры, операторов и интернет провайдеров, с целью формирования общего понимания кибератак и поведения по получению информации со стороны США в отношении мобильных устройств, мобильной индустрии и их поставщиков, операторов и крупных интернет провайдеров, чтобы создать системные возможности предотвращения, эффективно охватить цепочку мобильной индустрии и экосистему приложений, критически важную информационную инфраструктуру, а также государственные и корпоративные сетевые сценарии.
Главы с 1 по 5 сосредоточены на атаках со стороны США на аппаратное и программное обеспечение, а также системы и приложения умных мобильных устройств. Главы с 6 по 10 сосредоточены на атаках США на инфраструктуру операторов и внутренние системы, при этом последние две главы сосредоточены на комбинированных атаках на операторов и умные устройства. Глава 11 повторно анализирует программу PRISM, раскрывая разведывательную деятельность разведывательных агентств США по получению данных с умных мобильных устройств через интерфейс сверхдоступа, предоставляемый крупными интернет-провайдерами и выполнению анализа больших данных (см. рисунок ниже).
Анализ и результаты исследований, обнародованные различными кругами по всему миру, единогласно свидетельствуют о том, что прослушивание и тайное хищение данных со стороны США в отношении умных мобильных устройств по всему миру носят повсеместный, бесцеремонный и усиливающийся характер.
Глава 1. Захват мобильного телефона через SMS — высокотехнологичные атаки, нацеленные на уязвимости SIM-карт
Уязвимости
SIM-карта — это модуль идентификации пользователя в мобильной системе связи, используемый для регистрации данных и информации о пользователе. Яркая особенность атак, эксплуатирующих уязвимости SIM-карт, заключается в том, что они не зависят от типа оборудования. Теоретически, все марки и модели телефонов, а также IoT-устройства и носимые гаджеты с SIM-картами — вне зависимости от установленной операционной системы — могут быть взломаны, если в используемой SIM-карте есть уязвимость. В сентябре 2019 года ирландская компания по кибербезопасности раскрыла атаку Simjacker, направленную на пользователей мобильных телефонов в Мексике, Колумбии и Перу. В отчете отмечалось, что этот метод очень напоминает инструменты АНБ для взлома SIM-карт — MONKEYCALENDAR и GOPHERSET, о которых ранее сообщал Эдвард Сноуден.
Обзор инцидентов
1 сентября 2019 года компания AdaptiveMobile Security, специализирующаяся на кибербезопасности и базирующаяся в Дублине (Ирландия), раскрыла атаку, направленную на уязвимость Simjacker в браузере S@T SIM-карт. Данная атака осуществляется путём отправки специально сформированных бинарных SMS-сообщений на мобильные телефоны. Если в SIM-карте присутствует браузер S@T, это приводит к активации уязвимости Simjacker и выполнению вредоносных команд, что позволяет злоумышленникам достигать различных противоправных целей, включая определение местоположения устройства и кражу конфиденциальных данных.
Атака с использованием уязвимости Simjacker затрагивает исключительно функциональные компоненты, встроенные в SIM-карту. Теоретически, все марки и модели мобильных телефонов с установленной уязвимой SIM-картой могут стать объектами атаки - включая IoT-устройства и носимые гаджеты с поддержкой SIM-карт. Хотя AdaptiveMobile Security зафиксировала подобные атаки только в Мексике, Колумбии и Перу, на момент обнаружения уязвимые SIM-карты поставлялись операторами связи в 29 странах мира, что потенциально подвергало риску около 1 миллиарда пользователей.
AdaptiveMobile Security указала, что, с одной стороны, атака Simjacker была очень похожа на 4 раскрытые атаки, эксплуатирующие уязвимости SIM-карт, включая два оборудования для атак на SIM-карты АНБ, раскрытые Сноуденом; с другой стороны, исполнитель обладал очень широким спектром навыков, опыта и ресурсов, имел доступ к сетям SS7 (Система сигнализации №7) и проявлял особый интерес к мобильным пользователям в таких странах, как Мексика. Считается, что АНБ является одной из немногих атакующих структур в мире, обладающих вышеуказанными возможностями и характеристиками.
Метод атаки
В техническом документе по Simjacker, опубликованном в октябре 2019 года, отмечалось, что атака Simjacker использовала ошибку конфигурации безопасности в браузере S@T SIM-карт, выпущенных некоторыми операторами, заключающуюся в отсутствии проверки действительности полученного сообщения, для осуществления таких действий, как удаленное определение местоположения цели.
S@T Browser (SIMalliance Toolbox Browser) является встроенным программным обеспечением SIM-карты. Его первоначальное назначение - обеспечение таких сервисов, как получение баланса пользовательского счета через SIM-карту, поэтому он не получил широкой известности. По состоянию на 2019 год технология S@T Browser не обновлялась в течение 10 лет, но в то время браузер являлся устаревшей технологией и по умолчанию входил в состав встроенных компонентов SIM-карт многих брендов.
AdaptiveMobile Security проанализировала этапы атаки Simjacker:
Шаг 1: Злоумышленник использует обычный мобильный телефон, GSM-модем или A2P SMS-сервис для отправки текстовых сообщений типа SMS-PP (point-to-point) на атакуемое устройство. Целевым приложением является S@T Browser в SIM-карте.
Шаг 2: После получения атакуемым устройством SMS-PP сообщения срабатывает логика на мобильном телефоне, и S@T Browser становится исполняемой средой на SIM-карте. SIM-карта берет на себя управление телефоном для приема и выполнения чувствительных команд.
Шаг 3: После того, как вредоносный код извлекает из телефона такую информацию, как местоположение и специфические данные устройства (International Mobile Equipment Identity, IMEI), он систематизирует эти данные и снова активирует логику телефона, чтобы отправить объединённую информацию получателю через "Data Message" (сообщение с данными).
AdaptiveMobile Security считает, что теоретически команды, которые может выполнять S@T Browser, включают получение текущего местоположения устройства, информации IMEI, информации о сети, информации о языке, отправку SMS, воспроизведение аудио, запуск браузера и т.д., поэтому он может даже использовать мобильные телефоны для отправки ложных SMS, совершения телефонных звонков для телекоммуникационного мошенничества, открытия вредоносных веб-сайтов и т.д.
Катал МакДейд (Cathal McDaid), технический директор (chief technology officer) AdaptiveMobile Security, сказал, что одной из особых характеристик атаки на уязвимость Simjacker было то, что жертва совершенно не знала о полученных SMS с атакующими сообщениями и отправленных сообщениях с данными, не было никаких следов в любом входящем или исходящем ящике SMS. Второе заключалось в том, что атака может быть "первым реальным случаем вредоносного ПО (конкретно шпионского), отправленного внутри SMS". Предыдущее вредоносное ПО, отправляемое через SMS, просто отправляло свою ссылку, требуя от пользователя нажать на ссылку для загрузки. Предыдущее вредоносное ПО, отправляемое через SMS, подразумевало отправку ссылок на вредоносное ПО, а не самого вредоносного ПО внутри полного сообщения. В-третьих, многие из её атак, по-видимому, работают независимо от типов телефонов, поскольку уязвимость зависит от программного обеспечения на SIM-карте, а не от устройства. Мы наблюдали успешно атакованные устройства почти от каждого производителя: Apple, ZTE, Motorola, Samsung, Google, Huawei и даже IoT-устройства с SIM-картами.
Анализ прослеживаемости
В декабре 2013 года Der Spiegel обнародовал 48 видов атакующего оборудования АНБ, раскрытых Сноуденом. AdaptiveMobile Security указала, что атака Simjacker весьма похожа на два атакующих оборудования, нацеленных на SIM-карты - MONKEYCALENDAR и GOPHERSET. GOPHERSET использует интерфейс приложения SIM Toolkit STK для отправки STK-инструкций на указанную SIM-карту для сбора записей звонков, содержимого SMS и списка контактов другой стороны и отправляет извлеченные данные на указанный номер через SMS-сервис. MONKEYCALENDAR является шпионским ПО, внедряемым в SIM-карты пользователей GSM. Оно также основано на SIM Toolkit STK и в основном используется для получения информации о местоположении целевой SIM-карты.
AdaptiveMobileSecurity считает что сходство между тремя заключается в следующем: во-первых атаки используют STK-инструкции; во-вторых атаки имеют одинаковую цель и могут получать информацию о местоположении список контактов содержимое SMS записи звонков и т.д.; в-третьих все они используют SMS для отправки исходящих данных.
Организации, осуществляющие атаки Simjacker, также имеют широкий доступ к сетям SS7. AdaptiveMobile Security обнаружила, что некоторые жертвы Simjacker подвергались одновременным кибератакам через SS7, и полагает, что этот метод атаки используется как резервный вариант на случай, если эксплуатация уязвимостей Simjacker окажется неудачной. SS7 — это общеканальная сигнализация, обычно используемая между офисами. Она накладывается на коммутационную сеть оператора и является важной частью опорной сети.
В отчете за 2019 год под названием "Участившиеся случаи обнаружения 'ядерных' уязвимостей в SIM-картах и мобильных устройствах: анализ современных цифровых вооружений в кибервойнах" указывается, что хакеры, имеющие доступ к сети SS7 для проведения атак, с высокой вероятностью связаны с государственными структурами.
AdaptiveMobileSecurity зафиксировала реальные атаки только в Мексике, Колумбии и Перу. Еще в июле 2013 года Reuters со ссылкой на ведущую бразильскую газету O Globo сообщал, что согласно информации, раскрытой Сноуденом, некоторые страны Латинской Америки стали основными целями наблюдения АНБ, особенно Колумбия, Венесуэла, Бразилия и Мексика. В отчете подтверждается, что АНБ проявляло особый интерес к мобильным пользователям в таких странах, как Мексика.
AdaptiveMobileSecurity не стала напрямую идентифицировать организацию, осуществлявшую атаку, из-за опасений, что раскрытие конкретных методов отслеживания подорвет ее способность обнаруживать и предотвращать атаки Simjacker в глобальном масштабе. Однако на основе анализа общей ситуации с атакой Simjacker, технических характеристик, атакующих инструментов, путей атаки, целей атаки и т.д., заказчик - АНБ, скрывающийся за атакой Simjacker, всплыл на поверхность.
Расширенный анализ
На основе информации, раскрытой Сноуденом, китайский вендор кибербезопасности Antiy провел анализ и выявил, что дочерняя компания АНБ - AdvancedNetworkTechnology (ANT) - располагала не менее чем 15 видами атакующего оборудования для сканирования, мониторинга и сбора данных с мобильных коммуникационных устройств, что составляет около одной трети от всех раскрытых 48 видов оборудования.
Это оборудование включает как программное, так и аппаратное обеспечение. Формы оборудования включают вредоносные полезные нагрузки, вышки сотовой связи, базовые станции, приемопередатчики сигналов, мобильные телефоны и т.д., которые могут использоваться в сочетании для достижения сложных целей атаки.
Таблица 1-1 Оборудование для кибератак ANT против мобильных коммуникационных устройств
Атакующее оборудование |
Целевые устройства и функции | Метод внедрения программного обеспечения / Местоположение развертывания оборудования |
DROPOUTJEEP | DROPOUTJEEP — это программный имплант для iPhone, который может удалённо загружать/выгружать файлы с устройства. Собираемые данные включают: SMS, список контактов, голосовую почту, геолокацию, активацию микрофона ("горячий микрофон"), захват изображения с камеры, местоположение по вышкам сотовой связи и т. д. Управление командами, контроль и эксфильтрация данных могут осуществляться через SMS-сообщения или GPRS-соединение. | Первоначальный выпуск будет ориентирован на установку импланта с использованием методов близкого доступа. Возможность удалённой установки будет разработана в будущих версиях. |
GOPHERSET | GOPHERSET — это программный имплант для SIM-карт (модуль идентификации абонента) стандарта GSM (Глобальная система мобильной связи). Данный имплант извлекает такие данные, как список контактов, SMS и записи о звонках с целевого мобильного устройства, и передает их на заданный пользователем номер телефона через сервис коротких сообщений (SMS). | Он загружается на SIM-карту с использованием либо USB-считывателя смарт-карт, либо через OTA-провизионирование (over-the-air). |
MONKEYCALENDAR | MONKEYCALENDAR — это программный имплант для SIM-карт стандарта GSM. Данный имплант извлекает геолокационные данные с целевого мобильного устройства и передает их на заданный пользователем номер телефона через SMS. | Он загружается на SIM-карту с использованием либо USB-считывателя смарт-карт, либо через OTA-провизионирование (over-the-air). |
TOTECHASER | TOTECHASER представляет собой имплант для Windows CE, предназначенный для устройств Thuraya 2520. Он извлекает GPS и GSM данные о местоположении, записи звонков, список контактов и другую пользовательскую информацию с устройства Thuraya 2520 и передает их на заданный пользователем номер телефона через SMS. | Существующая версия требует непосредственного развертывания на устройстве Thuraya 2520. Версия с возможностью удаленного развертывания находится в разработке. |
TOTEGHOSTLY 2.0 | TOTEGHOSTLY 2.0 — это программный имплант для операционной системы Windows Mobile, который основан на StraitBizarre (бэкдор-"трамплин", обеспечивающий проведение quantum injection атак). Данный функционал включает возможность удалённой загрузки/выгрузки файлов с устройства, получение SMS, извлечение списка контактов, доступ к голосовой почте, определение геолокации, активацию "горячего микрофона", захват изображения с камеры, определение местоположения по вышкам сотовой связи и т.д. Управление командами, контроль и эксфильтрация данных могут осуществляться через SMS-сообщения или GPRS-соединение. | Первоначальный релиз будет сосредоточен на установке импланта с использованием методов близкого доступа. Возможность удаленной установки будет реализована в будущем релизе. |
PICASSO | Модифицированный GSM-терминал (целевой), собирающий пользовательские данные, информацию о местоположении и аудиозапись помещения. | Производится методом замены целевого телефона на модифицированный GSM-телефон. |
CROSSBEAM | CROSSBEAM — это многоразовый GSM-коммуникационный модуль, совместимый с CHIMNEYPOOL, способный собирать и сжимать голосовые данные. Он может принимать GSM-голосовые данные, записывать их и передавать полученную информацию через подключенные модули или 4 различных режима GSM-передачи данных (GPRS, Circuit Switched Data, Data Over Voice и DTMF) обратно на защищенный объект. | GSM-коммуникационный модуль, развертываемый на мобильных телефонах. |
CANDYGRAM | Имитирует GSM-вышку целевой сети. Когда целевое мобильное устройство попадает в зону действия базовой станции CANDYGRAM, система отправляет SMS через внешнюю сеть на зарегистрированные наблюдательные телефоны. | GSM-вышка, развёрнутая в целевой сети. |
CYCLONE HX9 | EGSM (900 МГц) макро-класс система "Сеть в коробке" (NIB). Использует существующий интерфейс Typhon GUI и поддерживает полный набор функций и приложений Typhon. | Макро-класс система NIB, развернутая на базовых станциях. |
EBSR | Многофункциональная. Пико-класс, трехдиапазонная активная GSM базовая станция со встроенными возможностями 802.11/GPS/мобильного терминала. | GSM базовая станция, развернутая в целевой сети. |
ENTOURAGE | Приложение пеленгации, работающее на платформе HOLLOWPOINT. Система способна определять линию пеленга (LOB) для сигналов GSM/UMTS/CDMA2000/FRS. | Приложение пеленгации, развернутое на платформе HOLLOWPOINT. |
GENESIS | Коммерческий GSM-терминал, модифицированный для интеграции программируемого радиомодуля (SDR) и дополнительной системной памяти. Встроенный SDR позволяет осведомлённому пользователю скрытно проводить анализ сетей, записывать радиочастотный спектр или определять местоположение терминалов в условиях враждебной среды.
| Портативный приемопередатчик сигналов - носите с собой, не требует развертывания. |
NEBULA | Мультипротокольная макро-класс система "Сеть в коробке" (NIB). Использует существующий интерфейс Typhon GUI и поддерживает приложения GSM, UMTS, CDMA2000. Возможность LTE в настоящее время в разработке. | Макроклассовая система NIB, развернутая на базовых станциях. |
TYPHON HX | Маршрутизатор базовой станции- поддерживающий GSM диапазоны 850/900/1800/1900 и связанные полные GSM сигнализацию и управление вызовами. | GSM маршрутизатор базовой станции, развернутый на шлюзе базовой станции. |
WATERWITCH | Ручной инструмент для точного геопозиционирования целевых мобильных устройств в полевых условиях. | Ручной финишный инструмент — можно носить с собой, не требует специального развертывания. |
Атака на уязвимость Simjacker является примером применения оборудования для кибератак ANT США. Используемые технологии, инфраструктура и методы доказывают, что кибератакующие возможности США совершили огромный скачок. Наиболее важным моментом является то, что США больше не нуждаются в установке имплантов через методы близкого доступа или OTA-установку (в этом случае атакующему необходимо получить OTA-ключ целевой SIM-карты). Мониторинг можно запустить просто через SMS, что более скрытно. AdaptiveMobile Security считает, что атакующий использовал уязвимость Simjacker для проведения атак как минимум два года и отслеживал десятки тысяч пользователей до того, как это было обнаружено и раскрыто.
Разведывательные службы США, представленные АНБ, обладают полным набором стандартизированного оборудования для мобильных атак, способны проводить тщательно организованные операции, и их деятельность отличается высокой скрытностью.
Глава 2. Украденный ключ – хищение ключа шифрования SIM-карты мобильного телефона
Ключи шифрования SIM-карт являются важной частью технологии мобильной связи и одной из основ обеспечения безопасности коммуникаций. Ключ аутентификации в составе ключей шифрования SIM-карты участвует в проверке легальности подключения мобильных устройств к сети и играет критическую роль в защите безопасности пользовательских коммуникаций. Этот ключ записывается в SIM-карту производителем в процессе производства и предоставляется оператору связи. Однако именно этот "ключ", призванный обеспечивать безопасность мобильной связи, стал мишенью разведслужб США и Великобритании. В период с 2010 по 2011 год американские и британские спецслужбы провели операцию DAPINO GAMMA против нидерландского производителя SIM-карт Gemalto с целью хищения ключей шифрования мобильной связи.
Обзор инцидента
20 февраля 2015 года издание The Intercept опубликовало статью под заголовком "Великая кража SIM-карт - Как шпионы похитили ключи от шифровального замка", основанную на документах АНБ, обнародованных Сноуденом. В материале раскрывалось, что в период с 2010 по 2011 год команда по эксплуатации мобильных устройств (Mobile Handset Exploitation Team, MHET), состоящая из сотрудников АНБ и Центра правительственной связи Великобритании (GCHQ) - ключевой организации системы разведки "Five eyes" («Пять глаз»), провела операцию под кодовым названием DAPINO GAMMA против производителя SIM-карт Gemalto. Целью операции являлась кража ключей аутентификации, используемых для обеспечения безопасности связи между персональными мобильными телефонами и сотовыми сетями. Таким образом, деятельность разведслужб США и западных стран по хищению ключей аутентификации SIM-карт с последующим получением данных мобильной связи была полностью разоблачена.
Нидерландская компания Gemalto является одним из крупнейших мировых производителей SIM-карт. Она была приобретена французской военно-промышленной компанией Thales в 2019 году. Около 2010 года ее клиенты включали около 450 мобильных операторов в 85 странах мира, и она производила приблизительно 2 миллиарда SIM-карт ежегодно. Документы, обнародованные Сноуденом, показывают, что в ходе своих «пробных» операций по сбору ключей в первом квартале 2010 года GCHQ успешно перехватило ключи, используемые провайдерами беспроводных сетей в Иране, Афганистане, Йемене, Индии, Сербии, Исландии и Таджикистане. Кроме того, американские и британские разведслужбы тесно сотрудничали во время операции. GCHQ использовало систему XKEYSCORE АНБ для скрининга и фиксации целей, а полученные ключи SIM-карт также передавались АНБ.
Метод атаки
Захват целей с использованием системы XKEYSCORE АНБ: MHET использовала систему XKEYSCORE АНБ для перехвата большого количества электронных писем на почтовых серверах Gemalto и мобильных операторов. Посредством анализа содержимого электронных писем могли быть обнаружены ключевые сотрудники или подсказки, которые могли иметь доступ к основной сети Gemalto и системе генерации ключей.
XKEYSCORE представляет собой систему АНБ для сбора и анализа глобальных интернет-данных. Система XKEYSCORE осуществляет перехват таких данных как электронная почта, интернет-звонки, записи интернет-чатов и история просмотров в реальном времени через серверы, размещенные на 150 объектах по всему миру. Аналитики могут получать как содержимое, так и метаданные целевой сетевой активности, используя различные ключевые параметры: имя, номер телефона, IP-адрес и данные браузера. Благодаря этой системе АНБ получает полную картину всех действий конкретной цели в интернете. XKEYSCORE отличается высокой масштабируемостью и может интегрироваться с кибероперационной системой АНБ TURBULENCE для автоматического анализа сетевой информации, собранной через другие каналы, и активации соответствующих задач. Система также способна обрабатывать данные из других проектов (например, информацию проекта перехвата спутниковой связи SKIDROWE) и предоставлять функции анализа. Кроме того, XKEYSCORE поддерживает использование и обмен разведданными между странами альянса "Пять глаз" (FVEY).
В ходе расследования электронной почты MHET обнаружила, что Gemalto использовала электронную почту или FTP для массовой рассылки ключей шифрования SIM-карт своим операторским клиентам по всему миру. При передаче файлов с ключами Gemalto применяла лишь простые методы шифрования, которые легко взломать, а в некоторых случаях даже передавала файлы ключей вообще без шифрования. Такой небрежный метод передачи создал условия для перехвата файлов ключей американскими и британскими разведслужбами.
Проникновение во внутреннюю сеть Gemalto: чтобы красть ключи шифрования SIM-карт более удобно и точно, MHET также вторглась во внутреннюю сеть Gemalto и внедрила вредоносное ПО на несколько внутренних компьютеров. Оно обеспечивает доступ к внутренней сети Gemalto и поиск целей для перехвата ключей. Документы, раскрытые Сноуденом, показывают, что MHET успешно внедрила несколько машин Gemalto, овладела всей ее сетью и обработала полученные данные.
Разработка программ для массового хищения ключей: на основе предварительной разведки MHET успешно перехватила данные интернет-коммуникаций между несколькими центрами персонализации Gemalto и мобильными операторами, получив ключи шифрования. В статье на сайте The Intercept указано, что за двухнедельный период они получили доступ к электронной почте 130 человек, связанных с поставщиками беспроводных сетей или производством и персонализацией SIM-карт. В результате этой операции было получено около 8000 ключей, привязанных к конкретным телефонам в 10 странах. В другой двухнедельный период, анализируя всего шесть email-адресов, они добыли 85000 ключей.
Чтобы дополнительно красть ключи шифрования, передаваемые между Gemalto и мобильными операторами, в большем масштабе и в больших количествах, американские и британские разведывательные сотрудники также специально разработали программу для автоматического перехвата и сбора ключей. Также было показано, что хотя автоматизированный метод способен возвращать репрезентативный набор элементов из массовых данных, он часто не обнаруживает все элементы, которые были бы найдены вручную. Но это ещё не всё, GCHQ также запустило операцию под названием "HIGHLAND FLING" в 2011 году, с целями, включающими: проникновение во французскую штаб-квартиру для доступа к основным хранилищам данных; получение информации о возможных IP-адресах, которые могли бы привести к проникновению в один или несколько центров персонализации; начало процесса для нового поставщика Giesecke and Devriente.
Расширенный анализ
Ключи шифрования SIM-карт являются важным инструментом для аутентификации личности и шифрования/дешифрования канала связи между мобильными телефонами и сотовыми сетями. Кража ключей шифрования SIM-карт может обеспечить техническую поддержку разведывательным агентствам для проведения ближней разведки мобильных телефонов. Если злоумышленник обладает ключом шифрования целевого телефона, ему будет проще установить аутентифицированное соединение между фальшивой базовой станцией и целевым телефоном, особенно в более защищенных сетях 3G и 4G. Наличие ключа шифрования облегчит взлом криптозащиты связи и восстановление текстового содержания переговоров. Как отметил Мэтью Грин, специалист по криптографии из Института информационной безопасности Джонса Хопкинса, в случае устаревших сетей 2G существуют обходные пути для преодоления защиты телефонов без этих ключей, однако в новых протоколах 3G, 4G и LTE алгоритмы менее уязвимы, поэтому получение этих ключей становится критически важным. Кроме того, американские и британские спецслужбы похищают ключи шифрования неактивированных SIM-карт. Это также позволяет создать базу данных ключей шифрования SIM-карт для поддержки будущих операций сигнальной разведки (SIGINT).
Когда речь идет о сборе сигнальной разведки, крупнейшей системой является глобальная система сбора и анализа сигнальной разведки ECHELON под руководством США. Эта система была создана совместно АНБ, GCHQ, Управлением безопасности связи Канады (CSEC), Австралийским управлением сигналов (ASD) и Бюро правительственной безопасности связи Новой Зеландии (GCSB). Система была впервые создана в 1970-х годах и изначально использовалась во время холодной войны для мониторинга военных и дипломатических коммуникаций между Советским Союзом и его блоком. После окончания холодной войны она начала перехватывать коммерческие и личные коммуникации по всему миру. Система ECHELON идентифицирует и извлекает ценную информацию из огромных объемов данных путем безадресного перехвата данных связи. Эта система создала множество перехватывающих объектов по всему миру и разместила станции в странах "Пяти глаз" (FVEY) для выполнения задач удаленного сбора и обработки разведданных.
Сайты ECHELON анализируют и обрабатывают телефонные звонки, факсы, электронные письма и другие данные о трафике по всему миру, перехватывая данные коммуникаций, передаваемые через спутниковую связь, коммутируемые телефонные сети и микроволновые каналы. В системе каждый сайт автоматически извлекает миллионы перехваченных сообщений и выполняет сопоставление по ключевым словам. Список поиска системы включает не только ключевые слова, заданные разведывательным агентством страны, где расположен сайт, но также ключевые слова, установленные для других агентств стран альянса Пяти глаз (FVEY). Всякий раз, когда система обнаруживает данные, содержащие ключевое слово от определённого разведывательного агентства, она автоматически отбирает сообщение и направляет его напрямую в соответствующее разведывательное агентство.
Будь то кража ключей шифрования SIM-карт мобильных телефонов или сбор глобальных данных радиоэлектронной разведки через систему ECHELON — всё это отражает непрерывный и безумный сбор глобальных данных радиоразведки западными разведывательными агентствами во главе с Соединёнными Штатами. Будь то конечные устройства или магистральные линии связи, будь то высокоценные цели, такие как технические специалисты и государственные чиновники, или обычные люди — все они могут стать объектами разведывательной деятельности американских спецслужб.
Глава 3. Незаметное вторжение — атака без клика на iPhone
Платформа iOS — это мобильная операционная система, разработанная компанией Apple и используемая на мобильных устройствах, таких как iPhone, iPad и iPod touch. Платформа iOS имеет встроенные уникальные функции. Например, iMessage — это сервис мгновенного обмена сообщениями, разработанный Apple. Он поддерживает множество функций, таких как отправка и получение текстовых сообщений, изображений, видео и документов, предоставляя пользователям удобный социальный опыт. Однако такие сервисы мгновенного обмена сообщениями стали объектами интереса разведывательных служб США. Американские разведывательные агентства используют подобные сервисы для рассылки вредоносных программ или атакующих нагрузок (payloads) пользователям iPhone с целью кражи данных с мобильных устройств. В июне 2023 года Федеральная служба безопасности России (ФСБ РФ) опубликовала заявление, в котором обвинила Агентство национальной безопасности США (NSA) в проведении операции под названием «Треугольник» (Operation Triangulation) против iPhone.
Обзор инцидента
1 июня 2023 года Лаборатория Касперского заявила, что iPhone-устройства её топ-менеджеров были скомпрометированы. Впоследствии компания опубликовала отчёт под названием «Операция “Треугольник”: атака на устройства iOS с использованием ранее неизвестного вредоносного ПО». В этом отчёте была раскрыта вредоносная кампания, нацеленная на устройства iPhone и iPad с применением атак «без взаимодействия» (zero-click). Атака такого типа означает, что заражение целевого мобильного устройства происходит без какого-либо участия пользователя в процессе атаки. Самые ранние следы заражения датируются 2019 годом. Вредоносная программа использует технику цифрового отпечатка под названием Canvas Fingerprinting: она рисует жёлтый треугольник на розовом фоне с помощью WebGL и вычисляет его контрольную сумму. Именно этот треугольник и стал причиной того, что Kaspersky назвала всю кампанию Операцией «Треугольник».
В тот же день ФСБ выпустила заявление, в котором обвинила компанию Apple в «тесном сотрудничестве» с АНБ и во взломе тысяч iPhone с помощью сложного вредоносного ПО. Основными целями были названы «иностранные дипломаты, аккредитованные в России и странах постсоветского пространства», включая дипломатов из стран-членов НАТО, Израиля, Сирии и Китая, а также некоторые местные российские пользователи. ФСБ заявила, что «Apple предоставляет возможности и условия для проведения разведывательными агентствами США разведывательной слежки против России. Объектами наблюдения также являются партнёры США в анти-российской деятельности и граждане США».
Метод атаки
Операция «Треугольник» использует встроенный сервис обмена сообщениями iMessage в системе iOS и четыре уязвимости нулевого дня в iOS для проведения атак без взаимодействия (zero-click) на устройства Apple.
Злоумышленник сначала отправил iMessage, содержащие скрытые вредоносные вложения, на целевое устройство iOS через сервер iMessage. После получения сообщения устройство автоматически активировало четыре уязвимости нулевого дня в системе и автоматически завершило последующую установку вредоносных программ. Злоумышленник первоначально использовал уязвимости в памяти WebKit и при обработке шрифтов для получения прав на выполнение, затем использовал уязвимость с переполнением целочисленного значения для повышения прав до уровня ядра, а затем использовал несколько уязвимостей памяти для преодоления аппаратных функций защиты Apple и выполнения установки вредоносных программ на устройстве. Весь процесс полностью скрыт и не требует никаких действий со стороны пользователя. Вредоносные программы тихо и автоматически передают личную информацию с телефона на заданный удалённый сервер. Это включает записи с микрофона, фотографии из сообщений, геолокацию и другие данные устройства.
Лаборатория Касперского проанализировала основное внедрённое вредоносное ПО и дала ему название TriangleDB. TriangleDB развёртывается после того, как злоумышленники получают права root на целевом устройстве iOS, используя уязвимость ядра. Оно запускается в памяти, что означает, что все следы импланта исчезают после перезагрузки устройства. Поэтому, если жертва перезагружает своё устройство, злоумышленникам приходится заново заражать его, отправляя iMessage со вредоносным вложением и снова запуская всю цепочку эксплуатации. В случае отсутствия перезагрузки имплант удаляет себя через 30 дней, если только злоумышленники не продлят этот срок.
Бинарный валидатор — это компонент, отвечающий за очистку следов вредоносного iMessage. Отправка этой информации обратно на сервер управления (C2) помогает злоумышленникам оценить ценность устройства и принять решение о запуске процесса TriangleDB. При нормальном выполнении TriangleDB загружает и вызывает несколько подшпионских модулей с сервера C2, включая модуль записи с микрофона, модуль получения учётных данных из KeyChain, модуль кражи секретов из базы данных SQLite, модуль определения GPS-координат, модуль кражи секретов из SMS и другие. Он поддерживает проведение злоумышленниками операций по краже секретных данных на уровне платформы. Отправляемые и получаемые сообщения шифруются с помощью симметричной криптографии (3DES) и асимметричной криптографии (RSA). Все сообщения передаются через протокол HTTPS в POST-запросах. Для цифрового отпечатка используется техника Canvas Fingerprinting: рисуется жёлтый треугольник на розовом фоне с помощью WebGL и вычисляется его контрольная сумма.
27 декабря 2023 года Лаборатория Касперского выпустила отчёт под названием «Операция Треугольник: последняя (аппаратная) загадка». Злоумышленник записывал данные по определённому физическому адресу и также обходил аппаратную защиту памяти, записывая данные, адрес назначения и хеш данных в неизвестные аппаратные регистры чипа, не используемые прошивкой. В настоящее время неизвестно, как злоумышленник узнал о существовании этой неизвестной аппаратной функции. В отчёте выдвигается предположение, что Apple может сотрудничать с разведывательными службами США.
Расширенный анализ
Большинство мобильных вредоносных программ требует от пользователя выполнения действия с кликом в процессе заражения устройства. Пользователи могут предотвратить это, повысив свою безопасность и внимательность. Атаки типа «zero-click» (без клика) не требуют от пользователя никаких действий с телефоном, включая переход по ссылке или открытие файла. Как только пользователь получает соответствующий контент, вредоносная программа может быть автоматически установлена на телефон. Большинство жертв даже не подозревают, что на их телефоны были установлены вредоносные программы, что затрудняет защиту личных устройств и приватности. Атаки «zero-click» часто используют неизвестные или не устранённые уязвимости в системе, поэтому разработчики не успевают их вовремя обнаружить и исправить. Как отметил исследователь кибербезопасности из Fortinet FortiGuard Labs Амир Лахани: «даже очень внимательные и осведомлённые пользователи не могут избежать этих двойных ударов — уязвимостей нулевого дня и атак без клика».
По мере того как мобильные системы становятся всё более совершенными, уязвимостей типа «zero-click», которые можно обнаружить и использовать, становится всё меньше, и стоимость атак типа «zero-click» становится всё выше. Zerodium, которая покупает уязвимости на открытом рынке, платит до 2,5 млн долларов за уязвимости «zero-click» против Android. Всё это определяет, что атаки, подобные операции Triangulation, должны проводиться против ценных целей и небольших специфических групп людей. Во время атаки Operation Triangulation злоумышленник проверял большое количество информации о целях и устройствах и удалял некоторые следы атаки перед установкой TriangleDB. TriangleDB существует только в памяти телефона и обладает способностью к самоуничтожению. Это ещё раз доказывает, что Operation Triangulation имеет характеристики высокой скрытности методов атаки, высокой сложности процесса атаки и высокой направленности атак на цели. Исходя из этих характеристик, разумно предположить, что действие было тщательно спланировано и осуществлено организациями с государственным происхождением.
Лаборатория Касперского выпустила отчёт 16 января 2024 года, в котором говорится, что расследование подобных случаев может быть сложным, затратным и требующим много времени из-за особенностей экосистемы iOS. В результате связанные угрозы часто остаются незамеченными для широкой общественности. Лёгкий метод обнаружения потенциального заражения iPhone может выявлять заражение шпионским ПО Pegasus и другими вредоносными программами iOS. Среди различных мобильных систем iOS считается обладающей относительно более разумной архитектурой и относительно полной системой безопасности. Однако именно деятельность разведывательных агентств США серьёзно влияет на доверие глобальных пользователей к IPhone.
Как заявило Министерство иностранных дел России 1 июня 2023 года, «Этот факт однозначно подтвердил то, о чём Москва давно говорит, а именно, что разведывательные службы США на протяжении десятилетий используют IT-гигантов для сбора персональных данных пользователей интернета без их ведома.» «Соединённые Штаты поставили себя выше закона. Ни одно государство не имеет права злоупотреблять своими технологическими возможностями в такой чувствительной сфере, как доступ к персональным данным пользователей смартфонов»
Глава 4. Pegasus — использование коммерческого шпионского ПО
Шпионское ПО Pegasus — это известный продукт израильского поставщика кибероружия NSO Group. Это программное обеспечение может заражать целевой мобильный телефон методом «zero-click» и тайно устанавливается на мобильные телефоны (или другие мобильные умные устройства), работающие на системах iOS и Android, для длительного мониторинга целевого устройства. Pegasus может получать подробные данные с телефона, включая электронные письма, фотографии, текстовые сообщения, записи звонков и другое. Кроме того, оно может получать геолокацию телефона и даже управлять камерой и микрофоном устройства. С 2018 года разведывательные службы, такие как ЦРУ и ФБР в США, используют различные способы и методы для применения шпионского ПО типа Pegasus с целью мониторинга соответствующих пользователей мобильных телефонов.
Обзор инцидентов, связанных со шпионским ПО Pegasus
18 июля 2021 года 17 международных СМИ из более чем десяти стран мира, включая The Washington Post и The Guardian, совместно опубликовали отчёт после нескольких месяцев расследования израильского шпионского ПО Pegasus. В отчёте было раскрыто, что нескольким главам государств и политическим деятелям велось наблюдение с помощью этого шпионского ПО, включая президента Франции Макрона, президента Ирака Салеха, президента Южной Африки Рамафосу, премьер-министра Пакистана Имрана Хана, премьер-министра Египта Ма Дебри и других, а также многих членов королевских семей, государственных чиновников, руководителей бизнеса, журналистов и других общественных деятелей из разных стран. После того как атака Pegasus была раскрыта СМИ, это вызвало бурю возмущения в международном сообществе. Этот инцидент дал людям более глубокое понимание сверхвысоких возможностей атак коммерческого шпионского ПО.
Разведывательные службы США используют шпионское ПО (Pegasus)
Мощные возможности Pegasus по атаке, проникновению и мониторингу привлекли внимание всего мира и стали главным объектом интереса правительств и разведывательных служб соответствующих стран. Соединённые Штаты особенно любят Pegasus. DEA, Секретная служба и Африканское командование Вооружённых сил США проводили переговоры с NSO. Такие разведывательные агентства, как ЦРУ и ФБР, также осуществляли глубокое сотрудничество с NSO.
Технические истоки ЦРУ и Pegasus
Согласно отчету New York Times в январе 2022 года, еще в 2018 году ЦРУ США приобрело Pegasus, чтобы помочь своему правительству в антитеррористических операциях. ЦРУ согласовало и оплатило для правительство Джибути. Расследовательский отчет, опубликованный на сайте Forbes в марте 2017 года, показал, что «техники ЦРУ для обеспечения устойчивого контроля над взломанным iPhone были похожи на методы израильского поставщика кибероружия NSO Group», «они оба используют одну и ту же уязвимость, но реализация немного отличается». Из этого видно, что техническая связь между ЦРУ и NSO очень тесная. Возможно, между ними существует более глубокое партнёрство.
2. Глубокое сотрудничество между ФБР и группой NSO
Помимо ЦРУ, ФБР также является клиентом группы NSO. В январе 2022 года газета The Times сообщила, что ФБР приобрело Pegasus в 2018 году. В последующие два года ФБР тестировало это шпионское ПО на секретном объекте в Нью-Джерси. В июне 2019 года три израильских инженера приехали в здание в Нью-Джерси, которое использует ФБР. Они демонстрировали и тестировали функции и производительность Pegasus.
Демонстрация инженерами NSO функциональности шпионского ПО Pegasus вызвала живой интерес у ФБР. Однако из-за ограничений правительства Израиля обычная версия Pegasus не может отслеживать американские мобильные номера. Во время презентации для чиновников в Вашингтоне компания представила новую систему под названием Phantom, которая могла взламывать любые телефонные номера в США, которые ФБР решало взять в прицел. Израиль выдал NSO специальную лицензию, которая разрешала системе Phantom атаковать номера США. Лицензия предусматривала только один тип клиента — государственные агентства США. Американское дочернее предприятие NSO заявило, что Phantom позволяет правоохранительным и разведывательным органам США получать разведданные путем извлечения и мониторинга важной информации с мобильных устройств. Это независимое решение, которое не требует сотрудничества с AT&T, Verizon, Apple или Google. Система превращает смартфон цели в "разведывательную золотую жилу".
3. Приобретение продуктов NSO через теневые компании
Согласно отчету New York Times от апреля 2023 года, 8 ноября 2021 года был заключён секретный контракт между подставной компанией, действовавшей от лица правительства США, и американским филиалом печально известной израильской хакерской фирмы. В рамках соглашения израильская компания NSO Group предоставила правительству США доступ к одному из своих самых мощных инструментов — Landmark, геолокационному средству, которое может тайно отслеживать мобильные телефоны по всему миру без ведома или согласия пользователей. Если скрытный характер сделки был необычным, то контракт за фронт-компанию подписал бизнесмен с поддельным именем. За несколько дней до этого Белый дом включил NSO в чёрный список Министерства торговли США. Это полностью демонстрирует двойственность и лицемерие правительства США в вопросах распространения кибероружия и слежки за личной жизнью граждан.
4. Разведывательные агентства США разрешают оборонному подрядчику приобрести группу NSO
В 2022 году потенциальная сделка с американским оборонным гигантом L3Harris по покупке хакерских инструментов NSO и приёму на работу большинства её сотрудников была гораздо более продвинутой, чем было известно ранее. Несмотря на то, что NSO находилась в чёрном списке Министерства торговли, руководители L3Harris вели переговоры с чиновниками этого ведомства по поводу возможной сделки, согласно внутренним документам, и существовал проект соглашения для её заключения, пока Белый дом публично не возразил, и L3Harris не отказалась от своих планов. Этот инцидент полностью демонстрирует стремление разведывательных агентств США контролировать коммерческое шпионское ПО для проведения разведывательной деятельности.
5. Продолжающаяся эксплуатация другого израильского шпионского ПО
Правительственные агентства США продолжают использовать шпионское ПО с функционалом, аналогичным Pegasus. СМИ сообщили, что Управление по борьбе с наркотиками США (DEA) является одним из крупнейших заказчиков израильского программного обеспечения Graphite компании Paragon. Paragon переняла опыт NSO и установила тесные каналы связи с правительством США. Также сообщается, что Paragon запрашивала у США рекомендации по списку целевых клиентов; целенаправленно привлекала финансирование от двух американских венчурных фондов — Battery Ventures и Red Dot — чтобы получить поддержку из США. Paragon наняла американскую политическую консультационную фирму, чтобы консультировать её по вопросам, что можно и нельзя делать для получения государственных заказов. Благодаря этим мерам Paragon фактически получила молчаливое согласие правительства США, а правительство США косвенно получило сильный контроль над Paragon.
Стоит отметить, что, хотя DEA является правоохранительным органом, который борется с незаконной торговлей наркотиками, оно имеет неразрывные связи со спецслужбами США. DEA часто использует свой удобный статус в борьбе с наркоторговлей для оказания помощи и прикрытия спецслужбам в осуществлении деятельности за рубежом. Хотя правительство США официально заявило о запрете использования программного обеспечения Pegasus, аналогичные (или полные копии) шпионские программы по-прежнему используются для осуществления разведывательной деятельности.
Расширенный анализ
С виду Соединённые Штаты ограничивают другие страны в использовании своего программного обеспечения, вводя санкции против группы NSO, но тайно покупают шпионское ПО через теневые компании и поручают оборонным подрядчикам приобрести группу NSO. ФБР сотрудничало с NSO под видом тестирования для разработки системы Phantom, способной атаковать мобильные телефоны в США; ФБР также использовало шпионское ПО Landmark через подрядчика Riva Networks для проведения долгосрочного мониторинга мобильных телефонов в Мексике.
Координация разведки между Соединёнными Штатами и Израилем включает: израильские компании предоставляют коммерческие шпионские инструменты для использования США; Соединённые Штаты разрабатывают средства атаки для обеих сторон. Известные инциденты включают Stuxnet и Duqu 2.0 (по версии Kaspersky). Разведывательные агентства США дополнительно усилили свои возможности по наблюдению и сбору информации в области мобильных сетей, используя и контролируя коммерческое шпионское ПО.
5 апреля 2022 года газета The Washington Post сообщила, что ФБР подписало рекордный контракт на программное обеспечение с компанией Babel Street на сумму до 27 миллионов долларов для усиления своих возможностей поиска и отслеживания контента в социальных сетях. В условиях тендера ФБР чётко указано: способность осуществлять поиск и перевод «как минимум на семи иностранных языках»; возможность поиска по определённой географической области; способность проводить корреляционный и сентиментальный анализ автора публикации, а также дополнительные функции, такие как анализ выражений, прогнозный анализ и машинное обнаружение. Разведывательные агентства США используют коммерческое программное обеспечение, чтобы максимально расширить свои уже «вооружённые до зубов» возможности по сбору сетевой разведки.
Глава 5. Приложения, которые нельзя удалить — сбор данных через ПО, массово предустанавливаемое мобильными операторами
Android является одной из самых распространённых мобильных операционных систем в мире. В погоне за лучшей производительностью, пользовательским интерфейсом и функциями производители мобильных телефонов часто выбирают глубокую кастомизацию нативной системы Android. Некоторые производители предустанавливают определенные приложения в постоянное запоминающее устройство (ROM), которые могут стать инструментами для американских разведывательных агентств для получения пользовательских данных. В 2011 году было выявлено, что американские операторы AT&T, Verizon, Sprint и T-Mobile US массово предустанавливали программное обеспечение Carrier IQ в мобильные телефоны. Это программное обеспечение незаконно собирало пользовательские данные, включая SMS, операции с клавиатурой и т.д. Операторы использовали бэкенд-продукт Carrier IQ для проведения запросов данных, а ФБР и АНБ получали пользовательские данные, которые значительно превышают объем законного авторизованного доступа, через разведывательное сотрудничество с операторами.
Обзор инцидента
Carrier IQ, основанная в 2005 году, является американской частной компанией по разработке мобильного программного обеспечения. Ее продукты состоят из встроенного ПО (IQ Agent) на мобильных устройствах и серверных аналитических приложений, позволяющих мобильным операторам детально понимать широкий спектр характеристик производительности и использования мобильных услуг и устройств. IQ Agent впервые поставлялся в 2006 году на встроенных кнопочных телефонах и с тех пор был реализован на других устройствах, таких как USB-модемы и планшеты.
12 ноября 2011 года американский white-hat хакер Тревор Экхарт опубликовал статью на сайте тестирования безопасности системы Android, раскрыв, что программное обеспечение Carrier IQ собирало как информацию, связанную с сетью например голосовые данные и данные передаваемые по сети, так и не связанную с сетью информацию, включая тип устройства, доступную память и время работы от батареи, тип приложений установленных на устройстве, географическое местоположение устройства, нажатия клавиш пользователем и историю использования устройства, и отправляло эти данные на сервер Carrier IQ для статистического анализа. Бэкенд-продукты, предоставляемые Carrier IQ, позволяли операторам и другим пользователям проводить детальные исторические запросы по любому устройству на основе IMEI или IMSI (International Mobile Subscriber Identity), поэтому конфиденциальность пользователей была полностью раскрыта перед Carrier IQ и мобильными операторами, использующими её услуги. Обычно программное обеспечение Carrier IQ было глубоко предустановлено в ПЗУ. Следовательно, для полного удаления этого ПО пользователи должны сначала получить root-доступ к телефону, а затем полностью перепрошить ПЗУ телефона, что является сложной операцией для обычных пользователей.
28 ноября 2011 года Экхарт опубликовал на YouTube видео, демонстрирующее, как программное обеспечение Carrier IQ записывает различные нажатия клавиш в виде открытого текста, включая перехват паролей с защищенных веб-сайтов в незашифрованном виде, а также фиксацию действий пользователя при отключенных сотовых сетях.
В ноябре 2011 года компания Antiy выпустила «Комплексный аналитический отчет по троянской программе Carrier IQ» (A Comprehensive Analysis on Carrier IQ), в котором подтвердилось, что Carrier IQ не только активно перехватывала и читала содержимое SMS на телефонах пользователей, отслеживала операции с клавиатурой и нажатия клавиш, но даже записывала и передавала полученные данные.
Анализ инцидента
Четыре крупнейших телекоммуникационных оператора США — AT&T, Verizon, Sprint и T-Mobile US — являлись клиентами Carrier IQ и предустанавливали данное ПО на различные модели телефонов, включая устройства на платформах Android, Symbian, BlackBerry и iOS. Согласно отчетам, был затронут 141 миллион устройств. ПО Carrier IQ предустанавливалось на телефоны таких брендов, как BlackBerry, HTC и Samsung, при этом производители телефонов заявляли, что американские операторы принуждали их к установке этого ПО на свои устройства.
В декабре 2011 года ФБР отказалось раскрывать документы, связанные с Carrier IQ, в соответствии с запросом по Закону о свободе информации (FOI), но было вынуждено признать, что собранные Carrier IQ данные использовались в «документах для расследований, подготовленных для правоохранительных целей».
В июне 2013 года Bloomberg опубликовал статью под заголовком "АНБ может собирать гораздо больше, чем ваши телефонные записи", в которой отмечалось, что после разоблачений о сборе данных Carrier IQ многие американские операторы и производители устройств удалили это ПО со своих аппаратов. Однако факт остаётся фактом: операторы устанавливали скрытое шпионское ПО на телефоны своих клиентов. Для АНБ не составило бы труда собирать и агрегировать эти данные из сетей операторов — подобно тому, как, согласно сообщениям, оно поступает с интернет-гигантами вроде Google.
Расширенный анализ
После разоблачения сбора данных Carrier IQ компания AT&T признала, что устанавливала это программное обеспечение на свои устройства с марта 2011 года. В декабре 2015 года AT&T приобрела Carrier IQ в скрытой манере и не раскрыла деталей приобретения. Крупные американские операторы имеют долгую историю сотрудничества с разведывательными агентствами. Согласно информации, раскрытой Сноуденом, у AT&T было многолетнее партнерство с АНБ, а программа PRISM показала, что американские разведывательные агентства глубоко анализировали и получали данные от операторов и крупных интернет-поставщиков. 5 июня 2013 года британская газета The Guardian сообщила, что АНБ запросило у Verizon предоставление миллионов частных телефонных записей.
Крупные американские операторы получили через ПО Carrier IQ огромное количество частных пользовательских данных, значительно превышающее их потребности в оптимизации трафика. Учитывая тесные кооперационные связи между американскими телекоммуникационными операторами (такими как AT&T и Verizon) и разведывательными службами США, у мобильных пользователей по всему миру есть основания подозревать, что американские спецслужбы через национальных операторов связи массово предустанавливали в телефоны пользователей сетевое диагностическое ПО типа Carrier IQ для сбора данных о мобильных пользователях на территории США с крайне низкими затратами. Фактически они превратили операторов связи в свои разведывательные ресурсы.
Хотя Закон о свободе информации (Freedom of Information ACT), принятый Конгрессом США в июне 2015 года, требует от американских разведывательных агентств прекратить массовый сбор телефонных данных в течение шести месяцев и получить одобрение Суда по надзору за иностранной разведкой (Foreign Intelligence Surveillance Court, FISC) перед доступом к телефонным данным конкретных целей у телекоммуникационных компаний, американские разведывательные агентства не соблюдают эти правила. 20 ноября 2023 года американский журнал Wired опубликовал статью под заголовком «Секретная программа наблюдения Белого дома дает полиции доступ к триллионам телефонных записей США», в которой отмечалось, что программа наблюдения, известная сейчас как Data Analytical Services (DAS), более десяти лет позволяла федеральным, государственным и местным правоохранительным органам анализировать детали звонков американцев, обрабатывая телефонные записи бесчисленного количества людей, не подозреваемых в преступлениях, включая жертв. Программа DAS, ранее известная как Hemisphere, осуществлялась в координации с телекоммуникационным гигантом AT&T, который собирал и анализировал записи звонков в США для правоохранительных органов — от местной полиции и шерифов до таможенных служб и почтовых инспекторов по всей стране. Разоблачение программы DAS полностью доказывает, что масштабные прослушивающие мероприятия американских разведывательных органов носят повсеместный характер, и даже права и интересы американцев не могут быть гарантированы.
Конец первой части