Специализирующаяся на кибербезопасности компания Trend Micro представила отчет о потенциальных уязвимостях сетей 5G, которые постепенно запускают в разных странах мира. Эксперты отметили, что злоумышленники могут взломать данные SIM-карты или перенаправить их в ложную сеть, когда абонент находится в роуминге. Со временем это позволит злоумышленникам создавать в инфраструктуре сети 5G слепые пятна для более организованных кибератак, включая атаки на интернет вещей.

Компания Trend Micro опубликовала исследование «Securing 5G Through Cyber-Telecom Identity Federation», целью которого стало «изучение слабых мест сетей пятого поколения, методов, которыми современные киберпреступники могут воспользоваться, чтобы скомпрометировать их, а также поиск решений, которые помогут защититься от атак». Исследователи отмечают, что многие компании и целые отрасли стремятся воспользоваться преимуществами сетей 5G, но пока не имеют достаточного опыта работы с телекоммуникационными технологиями. «Таким компаниям будет намного сложнее справиться с атаками киберпреступников, которые уже много лет занимаются взломом телекоммуникационных каналов и видят в сетях пятого поколения не меньше возможностей, чем представители легального бизнеса, включая их высокую пропускную способность, скорость и постоянно растущий охват»,— говорится в исследовании.

Потенциальные уязвимости сети стандарта 5G эксперты Trend Micro исследовали на примере локальной закрытой непубличной сети (NPN) в кампусе, поскольку в настоящее время охват таких сетей пока еще в основном ограничен отдельными городами или территориями.

В их конфигурациях уже есть потенциальные слабые места, поскольку данные передаются через несколько условных пунктов: ограниченное пространство с сетью стандарта 5G — закрытая/публичная вышка 5G — закрытые/публичные облачные 5G-сервисы — система мониторинга безопасности IT-оператора — облако, которым пользуется конкретный пользователь.
Соответственно, у злоумышленников есть несколько вариантов взлома такой сети: атака аппаратного уровня; атака на данные; атака с применением телекоммуникационных каналов.

При аппаратной атаке может использоваться метод удаленных манипуляций с SIM-картой (SIMjacking) в роуминге, например модификация настроек карты таким образом, чтобы устройство пользователя подключалось не к публичной сети, а к сети, которой управляют киберпреступники. Благодаря изменениям в настройках SIM-карты хакеры могут осуществлять прослушивание разговоров пользователя, внедрять вредоносное ПО и проводить кибератаки.

При втором типе атаки — на трафик данных и саму сеть — взломанная хакерами SIM-карта используется, чтобы ухудшать производительность устройства сети, к которой она подключена, или даже изменить базовые настройки этой сети. Используя тактику salami (мелкие атак в большом количестве, подобно нарезанию колбасы тонкими кусочками) и маломощных медленных атак (low and slow, тип DDoS-атаки с множества устройств), хакеры со временем могут создавать в инфраструктуре сети слепые пятна, которые затем можно использовать для более масштабных и разрушительных кибератак.

В атаках третьего типа — с применением телекоммуникационных каналов и удостоверений — злоумышленники пользуются тем, что «существует определенное несоответствие между способами обработки удостоверений в IT-системах и этих каналах». Большая часть удостоверений и учетных данных в телекоммуникационных каналах завязана на SIM-карту и обрабатывается на аппаратном уровне, а в IT-инфраструктуре — на уровне ПО. Соответственно, после кражи личности пользователя при помощи взлома карты хакеры получают доступ и к IT-системам, которые настроены так, чтобы автоматически «доверять» устройству с этой SIM-картой. В результате они могут использовать эту уязвимость для обхода систем защиты от мошеннических действий, изменения функций сети и даже изменения конечных продуктов, если речь идет о производстве и интернете вещей.

В качестве защитных мер эксперты рекомендуют использовать более тесную интеграцию трех основных элементов сетей 5G — SIM-карты и устройства, сети передачи данных и внешних сетей.
Так, идентификационные данные карты можно сделать видимыми или доступными для специальных систем проверки этих данных даже в роуминге, чтобы при первой же попытке перенаправить пользователя на ложную сеть это было зафиксировано. Кроме того, может быть использована технология блокчейн, чтобы любые попытки подмены данных или вторжения в один элемент сети можно было заметить в других элементах и своевременно пресечь.