SS7 açığı karaborsada 5 bin dolara satılıyor: Siber tehdit aktörünün iletişimi adım adım ifşa edildi

SS7 nedir ve neden önemlidir?
SS7 (Sinyalizasyon Sistemi No.7), dünya genelindeki telefon operatörleri arasında arama başlatma, SMS yönlendirme ve dolaşım bilgisi paylaşımı gibi kritik işlemleri yürüten bir sinyal protokolüdür. Ancak bu sistemde yıllardır süregelen yapısal zafiyetler, özellikle konum takibi, çağrı yönlendirme ve kimlik doğrulama atlatma gibi saldırılara olanak tanımaktadır.

Doğukan Çalışkan kimdir?
Siber tehdit istihbaratı analisti ve exploit geliştiricisi Doğukan Çalışkan, söz konusu zafiyeti darkweb'de tespit etti. Çalışkan, alıcı kimliğiyle tehdit aktörüyle doğrudan iletişime geçti ve süreci teknik olarak kayıt altına aldı.

Darkweb'de SS7 açığı satışı
Haziran 2025'te darkweb forumlarında yapılan bir paylaşımda, bir tehdit aktörü SS7 açığını 5 bin dolara satışa sundu. Paylaşımda, açığın kullanıldığı bir cihaza ait ekran görüntüleri ve nmap taramaları da yer aldı. İlgili cihazda SIP (5060 portu) servisinin açık olduğu ve SS7 protokolünü işleyen servislerin bulunduğu gözlemlendi.

Alıcı gibi davranılarak temas kuruldu
Çalışkan, tehdit aktörüyle TOX mesajlaşma uygulaması üzerinden temasa geçti. İlk etapta doğrudan açık talep edilmedi; dolandırıcılık olup olmadığını anlamak için kanıt talebinde bulunuldu. Aktör, bir cihaz üzerinde SS7 ile ilgili trafiği gösteren verileri ve cihaz tarama sonuçlarını paylaştı.

Aktörün mesajlarında dikkat çeken bir ifade vardı: ‘Bu hala çalışan bir RCE’ye (uzaktan kod yürütme açığı) dönüştürülmeli’. Bu, satılan açığın ham haliyle teknik bir işlemci tarafından geliştirilmesi gerektiği anlamına geliyor.

Gösterilen teknik veriler neleri ortaya koyuyor?
Aktör, SIP portu açık olan cihazlar üzerinde çalışan bir Apache sunucusu olduğunu ve PHP tabanlı web uygulamasının hedef alındığını belirtti. Bu sistemlerde, CentOS üzerinde çalışan servislerin zafiyetleri tarandı ve bir RCE potansiyelinin bulunduğu iddia edildi.

Sunulan veriler arasında şunlar dikkat çekti:

• Wappalyzer analiz ekranı

• Nmap ile port tarama sonuçları

• sngrep ve ngrep ile izlenen SS7 trafiği

• Hedef cihazda çalışan servislerin detayları

Ayrıca aktör, Asterisk PBX için kimlik bilgilerine ulaşılabileceğini de dile getirdi. Bu, çağrı yönlendirme gibi işlemler üzerinde kontrol kurma imkânı doğurabilir.

Satış yöntemi ve emanet sistemi kullanımı
Satıcı, dolandırıcılık şüphesine karşı olarak yalnızca emanet sistemleri üzerinden çalışacağını belirtti. Bu tür sistemlerde, ödeme yapıldıktan sonra ürün doğrulanana kadar para emanet hesabında tutuluyor. Çalışkan, işlem öncesi kanıt talep ettiğinde, tehdit aktörü çeşitli teknik ekran görüntüleri sundu.

SS7 zafiyetlerinin potansiyel tehditleri
SS7 altyapısındaki zafiyetler, kötü niyetli kişiler tarafından şu amaçlarla kullanılabilir:

• SMS'lerin yeniden yönlendirilmesi

• Çağrıların gizlice dinlenmesi veya başka bir cihaza aktarılması

• Hedef kişinin anlık konumunun tespiti

• İki faktörlü kimlik doğrulamanın atlatılması

Ancak burada dikkat çeken en önemli unsur, aktörün bu açığı doğrudan çalışır hale getirmediği, yalnızca gerekli teknik altyapıyı sunduğudur. Bu durum, açığın nihai kullanımının daha gelişmiş gruplara bırakıldığını düşündürmektedir.

Kullanılan teknikler ve araçlar
Çalışkan'ın raporladığı olayda öne çıkan araç ve yöntemler şunlardır:

• Shodan, Fofa gibi arama motorları ile hedef belirleme

• nmap ile port tarama ve servis tespiti

• sngrep, ngrep ile SIP ve SS7 trafiği izleme

• Wappalyzer ile yazılım sürüm tespiti

• Web zafiyet analizi ve potansiyel RCE tespiti

Gelişmiş grupların radarında
Tehdit aktörünün de belirttiği gibi, bu tür açıklar genellikle teknik olmayan kullanıcılar için değil; fidye yazılımı grupları, gelişmiş sürekli tehdit (APT) ekipleri ve yasa dışı istihbarat ağları için hazırlanmış altyapıların temelini oluşturuyor.

SS7 açığı gibi altyapısal zafiyetler, sadece bireysel kullanıcıları değil; kurumsal sistemleri, kamu haberleşmesini ve kritik iletişim altyapılarını da hedef alabilir.

Kaynak: CUMHA - CUMHUR HABER AJANSI