Cet article publié par Enea présente une nouvelle technique d’attaque par contournement du protocole SS7, mise en lumière par leur équipe d’experts en renseignement sur les menaces.
SS7 est un protocole utilisé par les opérateurs mobiles pour échanger des informations, et le TCAP (Transaction Capabilities Application Part) est une couche de ce protocole qui transporte des données d’application. Cette couche est codée en ASN.1 BER, offrant une certaine flexibilité qui a été exploitée par des attaquants.
La méthode d’attaque décrite cible spécifiquement l’encodage d’un élément d’information (IE) contenant le champ IMSI dans une commande PSI (ProvideSubscriberInfo). Cette commande est utilisée pour le suivi de la localisation des utilisateurs de téléphones mobiles. Les attaquants ont modifié l’encodage de l’IMSI pour contourner les systèmes de sécurité qui devraient bloquer ces requêtes.
L’attaque repose sur l’extension du code de balise (Tag) dans le TCAP, une technique peu connue mais valide selon les spécifications ITU. Cela permet de masquer l’IMSI et de contourner les contrôles de sécurité, permettant ainsi le suivi non autorisé des utilisateurs.
L’article conclut que cette technique a été utilisée par une entreprise de surveillance, et bien que son succès global ne soit pas mesuré, elle fait partie d’une suite d’attaques visant à contourner les défenses de sécurité des opérateurs mobiles. L’objectif principal de l’article est de sensibiliser à cette nouvelle menace et de partager des recommandations pour la contrer.
🧠 TTPs et IOCs détectés
TTP
Contournement du protocole SS7 en modifiant l’encodage ASN.1 BER dans le TCAP pour masquer l’IMSI et contourner les contrôles de sécurité, permettant le suivi non autorisé des utilisateurs.
🔗 Source originale : https://www.enea.com/insights/the-good-the-bad-and-the-encoding-an-ss7-bypass-attack/