糟糕的连接:揭秘隐蔽监控行为者对全球电信的利用
关键发现
据研究发现,攻击者采用多向量监控,结合使用 3G 和 4G 信令网络协议,通过 SMS 直接攻击设备,追踪目标。在一场攻击中,攻击者发送含隐藏 SIM 卡命令的恶意 SMS 提取位置信息,试图将设备变为隐蔽追踪信标。两个攻击者使用定制监控工具,伪造运营商身份,操纵信令协议,引导流量通过特定互联网络路径,逃避防御并掩盖攻击来源。
攻击利用了与全球运营商相关的标识符和基础设施,涉及英国、以色列、中国等多地网络,显示出广泛全球影响力。移动信令安全提供商 Cellusys 提供的遥测数据显示,运营商标识符多年间被重复使用,形成一致集群,使长期监控操作得以持续。此外,运营商间提供商的安全防护薄弱,对互联流量筛选不足,让攻击者可通过受信任的运营商路径路由监控消息,访问目标网络。
引言
近年来,多项调查揭示移动电信生态系统漏洞,以及政府安全机构利用这些漏洞追踪国外目标的情况。这些研究包括公民实验室的多篇报告及其他研究人员的工作。本研究在此基础上,进一步探究导致定向监控的结构性弱点。
2024 年末,公民实验室在移动信令防火墙日志中发现异常事件,结合 Cellusys 提供的情报,展开对协同定位跟踪活动的调查。最初看似孤立事件,最终揭示两个不同商业监控供应商利用全球电信生态系统进行长期间谍活动。
2024 年 11 月,第一次攻击发生,攻击者通过多阶段行动,利用多个 3G 和 4G 网络追踪一名高知名度移动用户,该用户是一家知名公司高管,为高价值监控目标。2025 年初,又发现一次协同跟踪事件,攻击者使用特殊格式 SMS 消息。两次攻击虽技术不同,但都展示先进、高度结构化且反复使用的方法,符合专门设计的监控平台特点。
通过与移动行业合作伙伴合作,利用信令日志、数据包捕获等元数据,对高级监控活动进行广泛调查,确定了与以色列、英国和海峡群岛运营商网络相关的 4G 基础设施,这些国家此前也与针对移动用户的商业监控供应商有关联。研究发现凸显全球电信领域系统性问题,运营商基础设施被用于隐蔽监控操作,此类活动持续且未受惩罚,引发对责任、监督和全球安全的思考。
研究方法
本报告基于与多家行业公司合作分析,包括信令防火墙提供商 Cellusys、国际信令网络提供商 Telenor Linx、电信数据情报提供商 Roaming Audit 以及电信网络安全公司 P1 Security。
通过将信令数据与其他独立数据源关联,验证研究结果,分析消息在全球互联生态系统中的提交、路由和传递方式。这些数据源包括移动运营商 GSMA 行业文件中的移动网络配置信息、电信域名系统记录、边界网关协议路由数据和自治系统编号注册信息、国家电信监管机构的公开记录。
分析方法
1. 可疑信令活动检测:识别国际信令流量中与已知监控技术匹配的命令,涉及 3G SS7 和 4G Diameter 信令协议,其重复和模式化使用通常与监控活动相关。
2. 监控活动模式识别:分析来自单个运营商信令地址的短时间内重复命令流量,识别同一时间段内多个运营商之间的协同活动,以识别不同监控活动。
3. 目标验证:Cellusys 验证每个活动针对特定用户手机标识符,确认跨多个运营商标识符的一致目标模式,并关联定位跟踪尝试的时间和顺序。
4. 行为者特征识别和聚类:通过对信令特征进行技术指纹识别,确定不同监控行为者,寻找顺序或模式化的事务标识符、非标准消息格式等。
5. 基础设施映射和路由分析:将运营商标识符与外部数据源关联,绘制攻击流量进入和穿越信令互联生态系统的路径。
6. 历史关联:将观察到的攻击指标与历史遥测数据关联,衡量活动持续时间以及同一运营商基础设施多年间的重复使用情况。
局限性和归因说明
攻击中观察到的运营商信令地址不一定意味着运营商直接参与,攻击者可通过第三方提供商等使用合法网络的运营商标识符发送消息。本分析主要探讨攻击活动中如何利用信令基础设施,虽未直接将攻击归因于特定政府或组织,但有指标表明可能是支持国家支持的情报活动的商业监控平台参与其中。
背景:移动通信中信任的持续破裂
为理解报告中攻击的发生原因,需研究移动网络通信方式及运营环境。连接全球移动运营商的系统使用融合了 SS7 和 Diameter 的协议,SS7 虽为遗留协议,但仍在国际漫游等方面发挥关键作用,这种易受攻击的协议混合为监控行为者创造机会。
这些漏洞是全球电信设计和商业实践所固有,移动生态系统由众多运营商通过漫游和信令协议连接,更注重效率等而非安全性,导致出现隐蔽市场,间谍行为者将电信网络武器化用于全球监控。
设计缺陷导致的不安全
安全问题根源在于基础信令协议。SS7 协议缺乏 IP 网络基本安全机制,如身份验证、完整性检查和加密。Diameter 协议设计上有更强安全控制,引入安全组件,但运营商大多未实施这些保护措施,继续依赖点对点信任模式,且关键操作安全措施很少执行,4G 网络仍易受 3G 相关监控技术攻击。
什么是 IR.21?
IR.21 是移动运营商通过 GSMA 共享的文档规范,包含运营商网络技术和运营细节,了解其数据的攻击者可利用信息识别网络元素或创建看似合法的信令消息。
获得全球信令生态系统访问权限的行为者可向世界各地网络发送信令命令,由于协议不验证命令来源,恶意信令流量可伪装成合法运营商网络节点,实现定位跟踪等攻击。此外,广泛的提供商与运营商间网络建立连接,第三方平台能生成信令查询,购买其服务的行为者可间接进入私人信令生态系统。
现代 4G/5G 网络与旧 3G 系统互操作性带来额外安全风险,攻击者可利用双重注册功能在 Diameter 和 SS7 协议间切换攻击,当运营商缺乏防火墙保护时,遗留 SS7 协议的不安全性更加严重。
电信监控行为者:一个拥挤而隐蔽的市场
十多年来,研究人员记录了威胁行为者利用信令网络漏洞的情况。大规模攻击需要将多个信令协议集成到指挥与控制(C2)系统中,这需要深厚专业知识、专门工具和对私人移动网络基础设施的特权访问,只有少数资源充足的行为者能满足这些要求。
电信监控生态系统由与国家相关的间谍服务和商业监控供应商组成,观察到的电信攻击多样性和持续性表明这两个群体都在利用漏洞。
| 关联方 | 报告的电信监控活动 |
|---|---|
| 国家支持的间谍行为者 | |
| Salt Typhoon:中国国家安全部(MSS) | 与针对电信基础设施的网络间谍活动以及针对多国政府官员的活动有关。 |
| Liminal Panda(LightBasin):与中国有关联的间谍行为者 | 以入侵电信运营商网络收集用户信息等闻名,使用定制信令工具。 |
| MuddyWater:伊朗情报和安全部(MOIS) | 对非洲和中东的电信提供商进行网络行动。 |
| 商业监控供应商 | |
| Circles、Cognyte、Rayzone、Defentek:不同实体 | 在 2024 年 2 月美国参议员 Ron Wyden 致时任总统乔·拜登的信中被提及,呼吁对多个电信监控供应商实施制裁。 |
| RCS Lab / Tykelab(Cy4gate):意大利 | 混合监控平台提供商,将设备间谍软件与电信信令监控能力相结合。 |
| Fink Telecom Services(FTS):瑞士 | 电信信令和 SMS 路由公司,据报道租赁了 SS7 全球标题,其平台具备定位跟踪和拦截能力。 |
| Rayzone Group:以色列 | 调查报道将该公司与从泽西岛、根西岛和全球其他网络租赁电信信令访问权联系起来。 |
政府机构对“现成的”电信监控服务有强烈需求,这些服务通过中介代理,直接或间接访问移动运营商或提供商网络,使监控流量融入合法漫游操作。
全球监控的隐蔽层面
电信级监控对安全社区几乎不可见,攻击发生在封闭生态系统中,安全研究社区难以进入,攻击很少公开曝光,技术和基础设施往往隐藏,信令消息传输执行力度不足,形成监控盲点。
攻击者可通过使用合法信令标识符和互联提供商伪装成受信任的运营商,冒用运营商身份掩盖身份。运营商向第三方提供基础设施访问权限的做法赋予监控行为者权力,给公民社会带来危害,且很难将攻击归因于国家和非国家行为者。
网络幽灵:追踪移动网络攻击的来源
历史上,运营商部署 SS7 防火墙阻止未经授权的信令消息,以应对 SS7 定位跟踪公开报道及 GSMA 发布的安全指南。那么,如何才能更有效地防范这些隐蔽的电信监控活动呢?
)
