Одной из главных задач «цифровых учений», проведенных в декабре Минкомсвязью, стало выяснение наличия у злоумышленников возможностей для слежки за абонентами с помощью перехвата звонков, СМС и данных геолокации и при использовании уязвимостей в сетях сотовой связи. Об этом РБК рассказали два источника РБК из компаний — участников учений.
Минкомсвязь сообщила о проведении учений, направленных на повышение безопасности и устойчивости функционирования сетей связи в России, 19 декабря. «В ходе учений отрабатывались сценарии негативного воздействия как на специально созданной тренировочной площадке, так и на повседневно функционирующей сети оператора сотовой связи. Также отрабатывались уязвимости, связанные с нарушением функционирования критически важной инфраструктуры национального сегмента сети интернет», — говорилось в сообщении министерства. В учениях были задействованы МВД, Минобороны, Минэнерго, ФСБ и другие ведомства, а также компании «Ростелеком», «МегаФон», «Лаборатория Касперского» и Positive Technologies.
Цифровой перехват
Согласно сценарию учений Positive Technologies атаковала сеть «МегаФона» в Ростовской области в ночь с 18 на 19 декабря. «Было совершено порядка 18 различных атак длительностью от 30 минут до 1 часа. Моделировалась ситуация, когда злоумышленник с использованием уязвимостей в протоколах SS7 и Diameter пытается перехватить голосовой трафик абонента, перехватить и подделать текст СМС, определить и подделать геолокацию абонента, отследить активность абонента и др.», — рассказал один из собеседников РБК. Протокол SS7 — закрытый канал, через который передаются служебные команды для соединения абонентов операторов местной, междугородной, международной и беспроводной связи во всем мире.
Ранее Positive Technologies уже обращала внимание на наличие уязвимостей в системе SS7. «Имея доступ к SS7 и зная номер телефона жертвы, можно подслушать разговор, определить местоположение человека, перехватить СМС для доступа к мобильному банку, отправить команду на платный номер и осуществить другие атаки», — говорилось в одном из отчетов компании, посвященном основным угрозам безопасности в сетях.
О том, что уязвимости в SS7 использовались Агентством национальной безопасности США для массовой слежки, ранее сообщала The Washington Post со ссылкой на материалы, раскрытые бывшим сотрудником агентства Эдвардом Сноуденом. Аналогичные с SS7 уязвимости ранее были выявлены и в Diameter — одном из протоколов, используемых в сетях четвертого поколения (4G).
«В принципе «МегаФон» был готов [к взлому] и успешно отразил атаки, но уязвимости этих протоколов были подтверждены, и они могут использоваться для атаки на других операторов», — говорит собеседник РБК.
Представитель «МегаФона» еще в июле 2016 года признавал, что «использование этих (SS7 и Diameter. — РБК) протоколов в злонамеренных целях недобросовестными организациями, имеющими подключение к SS7, — риск для индустрии». Однако тогда в компании утверждали, что SS7 «не доступна в полном объеме обычным абонентам», и обвиняли Positive Technologies в «раздувании проблемы». При этом Positive Technologies в одном из отчетов утверждает, что доступ к SS7 можно купить на черном рынке за несколько тысяч долларов.
На вопрос о том, как для компании прошли учения, представитель «МегаФона» Юлия Дорохина сообщила, что они «успешно отработали различные сценарии защиты от негативного воздействия на сети мобильной связи и положительно оценивают полученные в ходе учений результаты». «Все остальные операторы «большой четверки», то есть МТС, «ВымпелКом» и «Т2 РТК Холдинг» (работает под брендом Tele2), вообще отказались участвовать в учениях, — рассказывает один из участников учений. — «МегаФон», насколько я знаю, в этом году провел аудит безопасности, после чего компания могла поработать над ошибками, поэтому они такие «смелые». Модернизировать сеть, по его версии, компания могла после весенних и летних сбоев.
В мае и июне 2017 года у «МегаФона» были зафиксированы крупные сбои в работе сети, из-за которых абоненты в ряде городов не могли звонить и пользоваться мобильным интернетом на протяжении нескольких часов.
Представитель пресс-службы Positive Technologies подтвердил участие в учениях, но от дополнительных комментариев отказался.
Оргвыводы
«По итогам учений будут даны оценки текущего состояния ситуации, а также предложены меры по противодействию возможным угрозам, а также по их локализации и минимизации», — пообещали в Минкомсвязи. Доклад об итогах будет направлен в Совет безопасности России и президенту.
Первые учения, направленные на повышение устойчивости сетей связи, Минкомсвязь провела в июле 2014 года по поручению президента России Владимира Путина. Они проводились на MSK-IX и были направлены на обеспечение безопасности Рунета, в частности продолжения его работы в случае сбоев в DNS, рассказывал РБК в 2014 году гендиректор компании «Технический центр интернет» Алексей Платонов, побывавший на учениях.
Необходимость проведения учений в 2014 году объяснялась экспертами возникшей политической напряженностью между Россией и США с Евросоюзом, из-за которой отечественные чиновники опасались деструктивных действий в киберпространстве. «Наши госорганы, которые занимаются безопасностью, отмечают, что ICANN (Корпорация по управлению доменными именами и IP-адресами) находится в юрисдикции США... Они считают, что американцы могут предпринять какие-то действия в отношении доменов верхнего уровня», — рассказывал Алексей Платонов.
Министр связи Николай Никифоров в ноябре 2014 года заявлял, что подобные учения будут проводиться каждый год для «предотвращения любых деструктивных действий», однако ни в 2015-м, ни в 2016 годах они так и не состоялись. Собеседник РБК, принимавший участие в учениях 2017 года, утверждает, что у Минкомсвязи с 2014 года действительно есть поручение, подписанное президентом, о необходимости проводить ежегодные учения, однако министерство несколько раз сдвигало сроки его исполнения вплоть до декабря этого года.
Учения 2014 года завершились разработкой целого ряда инициатив, направленных на повышение устойчивости отечественной цифровой инфраструктуры. В частности, была обновлена Доктрина информационной безопасности (подписана в декабре 2016 года Владимиром Путиным), в которой одним из основных негативных факторов, влияющих на состояние информационной безопасности, было названо «наращивание рядом зарубежных стран возможностей информационно-технического воздействия на информационную инфраструктуру в военных целях».
Кроме того, Минкомсвязь подготовила поправки в закон «О связи», призванные обеспечить «целостность, непрерывность, стабильность, устойчивость и защищенность функционирования» российского национального сегмента интернета. Документ предлагает создать в стране государственную информационную систему, которая будет аккумулировать информацию об автономных системах, IP-адресах, точках обмена трафиком и маршрутизации в сетях связи. Однако законопроект пока не внесен на рассмотрение в Госдуму.
Нынешние учения должны привести к новым изменениям законодательства, в первую очередь направленным на обеспечение безопасности сотовых сетей, утверждает собеседник РБК, принимавший участие в учениях, и подтверждает еще один участник телекоммуникационного рынка. Представитель Минкомсвязи отказался от комментариев.
Мария Коломыченко