Post #4544

Кодировочка Исследователи Enea обнаружили новый способ обхода защиты SS7-сетей через манипуляции с кодировкой TCAP. Хакеры научились прятать IMSI-номера жертв, используя расширенные теги в ASN.1 BER кодировке. Фокус в том, что злоумышленники отправляют PSI-команды с нестандартной структурой тегов — вместо обычного 30 12 80 08 используют 30 13 9f 00 08. Такая «творческая» кодировка заставляет системы безопасности игнорировать поле с IMSI, поскольку многие декодеры просто не умеют обрабатывать расширенные теги TCAP. В итоге запросы на отслеживание местоположения проходят мимо фильтров и целевой номер остаётся невидимым для проверок. Атаки зафиксированы с конца 2024 года. Исследователи рекомендуют блокировать все некорректно сформированные PDU или MAP-пакеты без распознаваемых IMSI. НеКасперский