Следят ни всички комуникации чрез офиса на офшорка в София: Биволъ

          Преди 5 години Биволъ осветли фирмата за кибершпионаж Circles, която е базирана в България чрез “Съркълс България”. Тя се е регистрирала у нас като виртуален телеком оператор, за да получи достъп до сигналната системи на телекомите SS7. През SS7 софтуерът на Circles може да проследява местоположението на телефоните дори в роуминг и да прихваща незащитени SMS съобщения и обаждания.

През последните години бизнесът на “Съркълс България” просперира. Дружеството е собственост на кипърската компания “СС – Съркълс Солюшънс” Лимитед. През 2017 тя получава кредит от 275 милиона долара от две офшорки и швейцарска банка регистрирана на Кайманските острови. От 2015 до 2020 г. персоналът на българската фирма нараства двойно и в момента достига 150 души.

Договорът за заем на Circles с офшорни фирми.

Преди няколко дни излезе ново проучване на авторитетната лаборатория CitizenLab, в което се разкрива, че Circles е продавала шпионския си софтуер на държави с диктаторски режими. В много случаи те го използват, за да следят и репресират дисиденти.

Citizen Lab предупреждават правителството на САЩ, че дейностите на Circles представляват заплаха за националната сигурност. Експертите отправят предупреждение и към високорисковите потребители – правозащитници, граждански активисти, журналисти и правителствени агенти трябва да дезактивират всички услуги, използващи двуфакторна идентификация през SMS и да въведат допълнителни кодове за защита на приложенията Signal и WhatsApp.

Биволъ преведе статията на CitizenLab с незначителни съкращения.
Резюме и ключови констатации от доклада на Citizen Lab

Circles е компания за наблюдение, която съобщава, че се възползва от слабостите в глобалната система за мобилни телефони, за да подслушва разговори, проследява текстове и местоположението на телефоните по целия свят. Circles е свързана с NSO Group, която разработва най-често злонамерено употребявания шпионски софтуер Pegasus.

Circles, чиито продукти работят без да се хакне телефонът, твърдят, че продават само на държавно ниво. Според изтекли документи, клиентите на Circles могат да закупят система, която да свързват с инфраструктурата на местните телекомуникационни компании, или да използват отделна система, наречена “Circles Cloud”, която се свързва с телекомуникационните компании по целия свят.

Според Министерството на вътрешната сигурност на САЩ всички безжични мрежи в страната са уязвими към видовете слабости, за които се твърди, че се използват от Circles. По-голямата част от мрежите по света са също уязвими.

Използвайки интернет сканиране, намерихме уникален подпис, свързан с имената на хостовете на защитните стени (firewalls), използвани в разположенията на Circles. Това сканиране ни позволи да идентифицираме наличието на Circles в поне 25 държави.

Стигнахме до заключението, че правителствата на следните страни са вероятни клиенти: Австралия, Белгия, Ботсвана, Чили, Дания, Еквадор, Естония, Екваториална Гвинея, Гватемала, Хондурас, Индонезия, Израел, Кения, Малайзия, Мексико, Мароко, Нигерия, Перу, Сърбия, Тайланд, Обединените арабски емирства (ОАЕ), Виетнам, Замбия и Зимбабве.

Някои от конкретните правителствени клонове, които идентифицираме с различна степен на категоричност като клиенти на компанията, имат история, която използва дигиталната технология за нарушения на правата на човека. В няколко конкретни случая успяхме да посочим местоположението на определен клиент – като командването на операциите по сигурността (ISOC) на Кралската армия на Тайланд, за която се твърди, че е измъчвала задържани.
1. Обща информация

Обществената дискусия около наблюдението и проследяването до голяма степен е съсредоточена върху добре познати технически средства, като например целенасочено хакерство и прихващане в мрежата. Въпреки това други форми на проследяване се използват редовно и широко от правителствата и третите страни за осъществяване на трансгранично наблюдение и мониторинг.

Една от най-широко използваните (и недооценени) възможности е установяването на слабости в глобалната инфраструктура на мобилните телекомуникации, за да се следят и прихващат телефонните обаждания и трафика.
Макар, че добре обезпечените правителства отдавна имат възможност да извършват такава дейност, през последните години се появиха компании за продажба на тези екстри. Например, Guardian съобщи през март 2020 г., че Саудитска Арабия вероятно “експлоатира слабости в глобалната мобилна телекомуникационна мрежа за проследяване на гражданите, докато пътуват из САЩ”. Други разследващи доклади сочат, че журналисти, дисиденти и опозиционни политици в Нигерия и Гватемала са били обект на подобна цел.

Злоупотребата с глобалната телефонна система за проследяване и мониторинг се смята за широко разпространена, но е трудно да се разследва. Когато дадено устройство се проследява или са прихванати съобщения, не е задължително да останат следи по въпросното устройство, за да могат да се открият проследяващите. Междувременно при клетъчните оператори са налице много технически трудности да идентифицират и блокират злоупотребите с тяхната инфраструктура.
SS7 атаки

Системата за сигнализация 7 (SS7) е протоколен пакет, разработен през 1975 г. за обмен на информация и маршрутизиране на телефонни разговори между различните телекомуникационни компании. По време на развитието на SS7 глобалната телефонна мрежа се състои от малък клуб от монополисти телекомуникационни оператори. Тъй като тези компании обикновено се доверяват една на друга, дизайнерите на SS7 не са счели за нужно удостоверяването или контрола на достъпа. Въпреки това, с появата на телекомуникационното дерегулиране и мобилните технологии скоро започнаха спорове около предположението за доверие. Обаче SS7 издържа, благодарение на желанието да се поддържа оперативна съвместимост с по-старо оборудване.

Поради липсата на удостоверяване на SS7, всеки нападател, който свързва мрежата на SS7 (като разузнавателна агенция, кибер-престъпник или фирма за наблюдение, която управлява фалшива телефонна компания) може да изпраща команди до абонатната “домашна мрежа” и да показва, че абонатът е роуминг. Тези команди позволяват на нападателя да следи местоположението на жертвата и да прихваща гласови повиквания и SMS текстови съобщения.

Тези възможности могат да се използват и за прихващане на кодове, използвани за