Глава 35 За нами следят

В мае 2016 года Роман Удот убедился, что его телефон прослушивают.

Удот давно работает в ассоциации наблюдателей «Голос», которая отслеживает нарушения на выборах (и крайне нервирует российские власти). «Если ты представляешь интерес, твой телефон прослушивают, это как дважды два — четыре, — говорит он. — Узнают из разговора, куда я хожу ужинать с друзьями? Это издержки того, чем мы занимаемся. С этим нужно смириться».

В последнее время на многих встречах и мероприятиях «Голоса», о которых не сообщалось публично, появлялись сотрудники телеканала НТВ — из отдела, снимающего сенсационные «разоблачительные» фильмы, посвященные российским оппозиционерам (фильм о «Голосе» вышел 3 июня 2016 года).

Тогда Удот и его коллеги решили поставить эксперимент. Как-то раз с «Голосом» по электронной почте связались представители канадского посольства. Они попросили о встрече, чтобы обсудить грядущие думские выборы и работу ассоциации. Обычно такие встречи проходили в посольстве или в кафе, но в этот раз дипломаты предложили встретиться в офисе наблюдателей. Точные договоренности по месту и времени обсуждали исключительно по телефону — чтобы проверить, появятся ли после этого на встрече сотрудники НТВ.

Когда канадцы приехали в офис, возле здания почти сразу же появился автомобиль телекомпании. В разговоре с Удотом сотрудники НТВ сказали, что не прослушивают его телефон. Через несколько дней в этих же людях бывший посол США в России Майкл Макфол узнал тех, кто в 2012 году появлялся вместе с ним на мероприятиях, проведение которых никак не анонсировалось. Госдепартамент США тогда предполагал, что телекомпания получила доступ к календарю посла, взломав почту или телефоны.

Специалист по информационной безопасности одной из российских компаний, занимающихся киберзащитой, рассказывал мне, что в случае Удота речь может идти о слежке спецслужб через СОРМ (аппаратура для прослушки, которой оперативники ФСБ пользуются по решению суда) или вирусе-шпионе в телефоне. Есть, однако, и еще один вариант — прослушка могла осуществляться через уязвимость в мобильной связи, о которой знают только специалисты по информационной безопасности и операторы связи: «дыру» в системе протоколов SS7, используемой телефонными компаниями для передачи служебных команд. Благодаря этой уязвимости после несложного взлома можно перехватывать и прослушивать звонки, отслеживать местонахождение абонента, читать и даже переписывать SMS.

Под ударом может оказаться практически любой обладатель телефона — политик, правозащитник, журналист, бизнесмен, жена ревнивого мужа, муж ревнивой жены; прочие семь с половиной миллиардов абонентов мобильных телефонов. Хакеры могут атаковать любые телефоны — и старые кнопочные, и смартфоны, и устройства на базе iOS или Android.

От атак через SS7 не защищены около 90 % мобильных операторов мира (в безопасности находятся операторы, заменившие устаревшие протоколы и те, которые постоянно анализируют всех абонентов для выявления вредоносных действий); SMS-сообщения 89 % абонентов можно перехватить; 58 % абонентов можно отследить; разговоры половины абонентов можно прослушать. Об этом говорится в докладе российской компании Positive Technologies, исследовавшей системы безопасности крупнейших мобильных операторов мира.

***

Протоколы SS7 начали разрабатывать в 1970-х годах. В то время радиолюбители увлекались конструированием самодельных аппаратов, с помощью которых удавалось имитировать передачу сигналов между телефонными станциями («межстанционную сигнализацию») и отправлять на них нужные команды. Такие аппараты, известные как «синие коробки», позволяли звонить почти бесплатно по любым направлениям, оплачивая звонки как местные. «Синюю коробку» в своем гараже собрали, например, создатели Apple Стив Джобс и Стивен Возняк.

Для борьбы с мошенниками телефонные компании разделили абонентский (передачу голоса) и служебный трафик (технические команды). Так появилась SS7, система сигнальных протоколов для обмена информацией и маршрутизации вызовов (какой номер вызывает, кого, откуда и так далее). Ее можно сравнить с системой метрополитена: SS7 — это служебные тоннели для рабочих, а не те, по которым ходят поезда.

SS7 начала работать в начале 1980-х и объединила телефонных операторов по всему миру. В России, США, Азии и Европе протоколы называются по-разному, они незначительно различаются, но совместимы друг с другом; в целом система по своему устройству напоминает интернет. В России SS7 называют ОКС-7 (общий канал сигнализации № 7), в США — CCS7, в Германии — N7, в Великобритании — CCIS7; общепринятое название — SS7.

В начале 2000-х годов было разработано дополнение к SS7 — программное обеспечение Sigtran, которое позволило передавать сообщения и команды по IP-сетям: компоненты сети SS7 стали доступны в публичных сетях, подключиться к некоторым из них можно через интернет. Новое и инновационное ПО продолжило работать на старой системе, которую никак не защитили; более того, осуществить «врезку» в эту систему теперь оказалось даже проще.

Публичное обсуждение «дыры» в SS7 началось в 2008 году. На хакерской конференции Chaos Computer Club (одна из крупнейших в мире) немецкий исследователь информационной безопасности Тобиас Энгель показал [304] собравшимся способы слежки за абонентами мобильной связи, основанные на проникновении в SS7. В правительствах и спецслужбах об уязвимости, видимо, знали еще раньше. В книге специалистов по телекоммуникациям Томаса Портера и Майкла Гуфа, вышедшей в 2007-м, указывалось, что администрация президента США серьезно обеспокоена высоким уровнем угрозы атак на основе SS7; в других американских документах [305] такие атаки упоминались еще с 1998 года. Об уязвимости не могли не знать мобильные операторы, но они, как правило, отказываются признавать существование проблемы.

В 2013-м бывший сотрудник ЦРУ и Агентства национальной безопасности США Эдвард Сноуден передал журналистам The Guardian и The Washington Post архивы, подтверждающие, что спецслужбы США и Великобритании сами могут следить за любым человеком на планете (и пользуются этой возможностью). В том же году The Washington Post рассказала [306], что АНБ использовала «дыры» в SS7 как один из методов слежки. А еще через год журналисты издания сообщили [307] о специальных программах для слежки на основе SS7 и том, что с помощью SS7 хакеры могут [308] «определить местоположение абонента в любой точке мира, прослушивать разговоры в реальном времени или записывать зашифрованные звонки и текстовые сообщения для дальнейшей расшифровки».

В первые годы к SS7 имели доступ избранные коммерческие и государственные телефонные компании. В конце 2010-х подсчитать количество легальных подключений к SS7 невозможно: это и мобильные операторы, и виртуальные мобильные операторы, и развлекательные контент-провайдеры. В этих компаниях работают сотни тысяч человек; среди них могут оказаться и нелояльные сотрудники с необходимыми навыками.

***

В 2014 году российские специалисты по кибербезопасности Дмитрий Курбатов и его коллега Сергей Пузанков проверили, насколько легко найти оператора, готового подключить незнакомцев к SS7. Беседуя с представителями мобильных операторов из Южной Америки и Средней Азии, они прикинулись начинающими контент-провайдерами дополнительных услуг, которым требуется подключение к SS7, чтобы «рассылать абонентам лучшие прогнозы погоды». Многие операторы согласились дать им доступ официально, другие предлагали подключение за четыре тысячи долларов. По словам Курбатова, имея знакомых в любом из операторов связи, получить доступ к SS7 очень легко.

Для атаки на абонентов не требуется сложное оборудование. «Не нужно быть гением или службой разведки, чтобы все это реализовать, — говорит Курбатов. — Программный комплекс мы сами написали, дополнив скачанное из интернета. Порог входа — низкий».

Достаточно с помощью соответствующего софта узнать номер IMSI — специальный идентификатор, который присваивается каждому мобильному абоненту (содержит код страны, код оператора и внутренний уникальный номер сим-карты). Одновременно хакер получает параметры MSC / VLR (коммутатор вызовов и местоположения), благодаря которым абонент находится в сети.

Все это требуется, чтобы обмануть «домашнюю» сеть абонента и перевести его в свою — фальшивую. Для «домашней» сети это будет выглядеть так, будто абонент («цель») уехал в роуминг; сам абонент об этом никогда не узнает. Фальшивая сеть передаст команду оператору, что теперь сама обслуживает абонента (то есть оператор получит сигнал, что его абонент находится в зоне обслуживания другого мобильного оператора). После этого с помощью специального ПО хакер сможет перехватить SMS, прослушать звонки, отследить местоположение «цели».

Курбатов говорит, что такой доступ в меньшей степени используется для слежки; чаще — для воровства денег с мобильных кошельков и SMS-банкинга: это обычно небольшие деньги, но преступные группировки берут оборотом [309].

Получив доступ к SS7, хакер может перехватить [310] коды авторизации от Telegram, WhatsApp и пароли двухфакторной авторизации Gmail, Facebook, «ВКонтакте». Инициировав подключение к Telegram, злоумышленник может получить SMS с паролем на захваченный телефон, ввести его и получить полноценный доступ к мессенджеру — писать сообщения от лица абонента и прочитать всю его переписку, которую Telegram автоматически подгружает в новый телефон; закрытыми для чтения останутся только зашифрованные чаты. В WhatsApp старую переписку прочитать не удастся: она не хранится на сервере, с апреля 2016 года WhatsApp включил полное шифрование для всех пользователей.

«Все, что зависит от SMS, может быть взломано — и было уже взломано с момента, когда заработала SS7, — говорил [311] немецкий хакер Карстен Нол. — Мобильная сеть, видимо, самое слабое звено в нашей цифровой защите».

Жертвы редко узнают, что их взломали. Согласно исследованию [312] американской компании FireEye, занимающейся разработкой программ от кибератак, среднее время нахождения хакера во взломанной сети или аккаунте до обнаружения — 205 дней.

В ночь на 29 апреля 2016 года о взломе своих аккаунтов в Telegram сообщили [313] оппозиционер Олег Козловский и сотрудник Фонда борьбы с коррупцией Георгий Албуров, оба — абоненты МТС. Неизвестные перехватили SMS с авторизационными кодами от их аккаунтов. Этого было достаточно, чтобы войти в систему, — у оппозиционеров не была включена двухфакторная авторизация с паролем. Козловскому и Албурову SMS с авторизацией не пришли. Козловский рассказывал, что в момент взлома МТС отключил службу доставки SMS.

В службе поддержки ему якобы заявили [314]: «Услугу коротких сообщений вам отключил наш отдел технической безопасности». Позже активисты выложили квитанции за услуги за апрель 2016 года: и у Козловского, и Албурова в них указано отключение услуг коротких сообщений. МТС это опровергал, представитель МТС Дмитрий Солодовников сообщил [315]: «Никаких целенаправленных действий по отключению услуг не производилось. Не исключаю вероятности вирусной атаки или доступа к аккаунту через вебинтерфейс». Таким же образом, возможно, прослушивали заместителя госсекретаря США Викторию Нуланд с послом США в Киеве Джеффри Пайеттом — тогда неизвестные выложили запись их телефонного разговора. Первым ссылку на аудиозапись тогда выложил помощник Дмитрия Рогозина, вице-премьера по обороне в правительстве.

Если оппозиционеров атаковали через SS7, хакеры вполне могли сделать так, чтобы взломанным абонентам не пришло SMS.

Помимо перехвата звонков и сообщений с помощью атак через SS7, хакер сможет вывести телефон из строя: устройство показывает, что ловит сигнал, но до него нельзя дозвониться. Такие атаки могут навредить бизнесменам во время переговоров, журналистам, связывающимся с источниками. Они также могут использоваться во время вооруженных конфликтов.

Российские спецслужбы давно занимаются созданием вирусов-шпионов, которые подсаживаются на телефоны — обычно для этого нужен физический контакт с устройством. Впрочем, есть у них и другие способы слежки, не требующие сложных ухищрений: например, они могут использовать СОРМ, систему технических средств для обеспечения оперативно-розыскных мероприятий, которая позволяет в том числе следить за телефонными переговорами или интернет-трафиком. По российскому законодательству спецслужбы имеют право задействовать систему только по решению суда, однако в 2012 году Верховный суд России признал законным [316] право спецслужб прослушивать оппозиционеров только на основании того, что они занимаются протестной деятельностью. В расследовании [317] российского Forbes указывалось, что решение о прослушке сотрудник ФСБ никому показывать не обязан: операторы связи не имеют права знать, чьи переговоры или почту перехватывают спецслужбы. Пункты управления СОРМ соединены по защищенному кабелю с серверами мобильных операторов и интернет-провайдеров, для прослушки сотруднику ФСБ достаточно ввести команды на пульте управления СОРМ, который находится в здании местного управления ведомства.