资源描述
美情报机构针对全球移动智能终端实施的监听窃密活动
中国网络安全产业联盟
2025 年 3 月
目 录
引 言 1
第一篇 一条短信“接管”手机——针对SIM 卡漏洞的高度复杂攻击 5
(一) 事件回顾 6
(二) 攻击方式 7
(三) 溯源分析 9
(四) 延伸分析 11
参考资料 14
第二篇 被偷走的“钥匙”——窃取手机SIM 卡加密密钥 15
(一) 事件回顾 16
(二) 攻击方式 17
(三) 延伸分析 19
参考资料 20
第三篇 悄无声息的入侵——针对苹果手机的“零点击”攻击 22
(一) 事件回顾 23
(二) 攻击方式 23
(三) 延伸分析 26
参考资料 27
第四篇 “飞马”风波——对商用间谍软件的利用 29
(一) “飞马”间谍软件事件回顾 30
(二) 美情报机构对“飞马”等间谍软件的利用 30
(三) 延伸分析 33
参考资料 34
第五篇 无法卸载的APP——通过运营商广泛预置软件收集数据 36
(一) 事件回顾 37
(二) 事件分析 38
(三) 延伸分析 39
参考资料 40
第六篇 窥探底数——获取全球移动运营商技术参数 42
(一) 事件回顾 43
(二) 攻击方式 43
(三) 延伸分析 47
参考资料 48
第七篇 伪装的基站——广泛使用伪基站监控手机 50
(一) 美情报机构和执法部门广泛使用伪基站 51
(二) 伪基站成为监视和网络攻击的途径 53
参考资料 54
第八篇 入侵运营商内网——利用Regin 软件攻击移动网络 57
(一) 事件回顾 58
(二) 溯源分析 59
(三) 延伸分析 61
参考资料 62
第九篇 基于运营商攻击上网终端——“量子”系统对手机和上网PC 的攻击能力 64
(一) 事件回顾 65
(二) 溯源分析 65
(三) “量子”系统揭秘 66
(四) 延伸分析 68
参考资料 69
第十篇 APP“调包计”——“怒角”计划的植入式攻击 71
(一) 事件回顾 72
(二) “怒角”计划揭秘 73
(三) 延伸分析 74
参考资料 75
第十一篇 “棱镜”背后的阴谋——构建超级数据访问接口 76
(一) “棱镜”事件回顾 77
(二) “棱镜”计划的运作 79
(三) “棱镜”计划的危害 82
参考资料 83
结 语 85
附录一:缩略语表 90
引 言
全球移动智能终端用户量巨大。2023 年 11 月国际电信联盟(ITU)发布的《2023 年事实与数据》报告显示,全球10 岁及以上人口中手机拥有率为 78%,3G 及以上的移动宽带在全球总人口的覆盖率为 95%。智能手机不再局限于传统的运营商通讯功能,而是成为日常购物、娱乐、社交、 学习、生活服务的基本入口,更是移动办公的节点,甚至 成为接入各种政企内网的身份令牌。
但同时,手机等移动智能终端也潜伏着巨大的网络安 全隐患,较传统 PC 端具有更广泛的感知能力,配置高精度传感器,以及摄像头、麦克风等信号采集装置。通过对设 备上的数据资产的收集和分析,能够对目标人员的工作生 活轨迹、行为习惯、心理特点以及社会关系和周边环境, 进行定向精准画像分析,甚至可以通过漏洞利用和恶意代 码投放攻击控制手机,实现全方位监听监视。一部失陷手 机就如同行走的窃听器、监视器,所到之处无密可保,全 部透明于攻击者的“上帝视角”之下。而对于被引入作为 移动办公环境的手机等智能终端设备而言,一旦失陷,不 仅可能造成与目标相关的更高价值数据资产泄露,更可能 成为攻击者入侵政企机构内网的突破口和跳板。
手机等移动智能终端因蕴藏着巨大数据资源价值,从 出现开始,就为美国情报机构所觊觎。在过去二十多年的
94
时间里,全球关键信息基础设施运营者、安全厂商、研究 者所面临的重大考验是,如何发现、分析和应对以美国国家安全局(NSA)、美国中央情报局(CIA)等为代表的美国情报机构发动的网络攻击活动。
相比传统 PC 端,手机等移动智能终端有更多的网络安
全暴露面和可攻击面,包括涉及硬件、固件、系统和应用的终端设备层面,涉及数据接口、Wi-Fi、蓝牙、蜂窝网络、GPS 等地理定位在内的信息交互层面,同时手机系统的安全性与复杂的软硬件供应链体系相关、与 APP 应用的产业生态相关、与运营商的信号传输和大型互联网平台厂商数据存储汇聚相关,这些都是美方情报机构觊觎的环节和重点攻击的目标。
本报告梳理汇聚了大量业界和学界对美方情报机构针对移动智能终端开展的网络情报活动的披露分析(见下图),从终端设备、通信基础设施以及运营商和互联网厂商几个攻击目标层面对各方研究成果进行了分类整合,旨在对美方针对移动终端、移动产业链和供应链、运营商、大型互联网厂商的网络攻击活动和信息获取行为进行全局性认知和了解,以建立体系化防范能力,有效覆盖移动产业链和应用生态、关键信息基础设施和政企网络场景。
本报告第 1 篇至第 5 篇聚焦美方针对移动智能终端硬件、
固件、系统和应用的攻击;第 6 篇至第 10 篇聚焦美方针对
运营商基础设施和内部系统的攻击,其中后 2 篇为美方针对
运营商及智能终端的组合攻击;第 11 篇重新解析“棱镜”
计划,揭露美情报机构通过互联网厂商的超级数据访问接 口获取移动智能终端数据、进行大数据分析的情报活动。 见下图:
全球各界披露的分析研究成果,共同揭露了美方针对 全球移动智能终端开展的监听窃密行动,无孔不入、肆无 忌惮、变本加厉。
第一篇 一条短信“接管”手机——针对 SIM 卡漏洞的
高度复杂攻击
SIM 卡是移动通信系统的用户身份识别模块,用来登记用户身份识别数据和信息。利用 SIM 卡漏洞实施的攻击有一个明显的特点,即攻击不受硬件类型的限制。理论上, 所有品牌和型号的手机,甚至带有 SIM 卡的物联网设备、可穿戴设备,无论安装有何种操作系统,只要插入的 SIM 卡中存在漏洞,即能够被攻击利用。2019 年 9 月,爱尔兰网络安全公司曝光一起利用 SIM 卡 S@T 浏览器中Simjacker 漏洞,针对墨西哥、哥伦比亚和秘鲁的手机用户实施的网络攻击活动,指出该攻击与斯诺登曝光的 NSA 两款 SIM 卡攻击装备 MONKEYCALENDAR 和 GOPHERSET
十分相似。
图 1-1 NSA 利用 Simjacker 漏洞实施攻击案例清单
(一) 事件回顾
2019 年 9 月 11 日,总部位于爱尔兰都柏林的网络安全公司“自适应移动安全”(AdaptiveMobile Security)曝光了一起针对 SIM 卡 S@T 浏览器中 Simjacker 漏洞的攻击活动
[1]。该攻击活动将特殊格式的二进制数据短信发送到手机,
如 SIM 卡内存在 S@T 浏览器,则触发 Simjacker 漏洞,执行恶意指令,实现定位、窃密等恶意目的。
Simjacker 漏洞攻击只与 SIM 卡嵌入的功能组件有关, 理论上插入含有该漏洞的 SIM 卡的所有品牌和型号的手机都可能受到攻击,甚至包括带有 SIM 卡的物联网设备和可穿戴设备。因此虽然“自适应移动安全”公司仅在墨西哥、哥伦比亚和秘鲁检测到实际的攻击行为,但当时全球 29 个国家的电信运营商提供的 SIM 卡都含有该漏洞,涉及 10 亿用户。
“自适应移动安全”公司指出,一方面 Simjacker 攻击与 4 个已曝光利用 SIM 卡漏洞的攻击十分相似,其中包括斯诺登曝光的 NSA 两款 SIM 卡攻击装备;另一方面实施者需要具有非常广泛技能、经验和资源,需要具备访问 SS7
(7 号信令)网络的权限,对墨西哥等国移动用户有特定的兴趣,认为 NSA 是全球少数具备上述能力和特质的攻击实体。
(二) 攻击方式
2019 年 10 月发布的《Simjacker 技术分析报告》[2]指出, Simjacker 攻击利用部分运营商发行的 SIM 卡中 S@T 浏览器对收到的消息有效性不做校验这个安全配置错误,实现对目标远程定位等攻击。
S@T 浏览器,全称为 SIMalliance Toolbox 浏览器,是SIM 卡内置软件,其最初目的是启用诸如通过 SIM 卡获取用户账户余额等服务,因此并不广为人知。截至 2019 年, S@T 浏览器技术已有 10 年未更新,但当时该浏览器作为遗留技术被默认为许多品牌 SIM 卡的自带组件。
“自适应移动安全”公司分析了 Simjacker 的攻击步骤: 第一步:攻击者使用普通手机、GSM 调制解调器或者
A2P 短信服务,向攻击目标发送 SMS-PP(点对点)类型的短信,目标应用是 SIM 卡中的 S@T 浏览器;
第二步:攻击目标收到 SMS-PP 类型的短信后,手机上的逻辑被触发,S@T 浏览器成为 SIM 卡上的执行环境, SIM 卡“接管”手机,接收和执行敏感指令;
第三步:攻击代码一旦从手机检索到位置和特定设备 信息(国际移动设备识别码 IMEI)等信息,就会对其进行整理,并再次触发手机上的逻辑,通过“数据消息”将合 并后的信息发送到接收者号码。
图 1-2 Simjacker 漏洞攻击技术流程
“自适应移动安全”公司认为,理论上 S@T 浏览器能够执行的命令包括获取设备当前位置、IMEI 信息、网络信息、语言信息、发送短信、播放音频、启动浏览器等,因 此甚至能够强制手机发送虚假短信、拨打电话进行电信欺 诈、打开恶意网站等。
“自适应移动安全”公司的首席技术官卡索·麦戴特
(Cathal McDaid)表示[3],Simjacker 漏洞攻击的特别之处一是受害者完全无感,收到的带有攻击消息的短信及发送 的数据消息均未在短信记录中留痕。二是该攻击可能是 “第一个真实存在的在短信中发送完整的恶意软件本身的 案例”。以前通过短信发送的恶意软件仅发送其链接,需要 用户点击链接下载。三是因为漏洞依赖于 SIM 卡上的软件而不是移动设备,所以各种类型手机均会遭受攻击。苹果、摩托罗拉、三星、谷歌、华为、中兴等几乎每个制造商的 移动设备都被观察到遭受攻击,甚至还有带有 SIM 卡的物联网设备。
(三) 溯源分析
2013 年 12 月,德国《明镜周刊》(Der Spiegel)披露了斯诺登曝光的 NSA 的 48 种 ANT 攻击装备[4]。“自适应移动安全”公司指出,Simjacker 攻击与其中两款针对 SIM 卡的攻击装备——MONKEYCALENDAR 和 GOPHERSET 颇具
相似之处。GOPHERSET 利用 SIM 工具包(STK)的应用接口,向指定 SIM 卡发送 STK 指令搜集对方的呼叫记录、短信内容、联系人电话簿,并通过短信服务将提取到的数 据发送到指定的号码。MONKEYCALENDAR 则是一种针对全球移动通信系统 GSM 用户 SIM 卡植入的间谍软件,该软件同样基于 SIM 工具包(STK),主要用于获取目标 SIM卡的位置信息。
“自适应移动安全”公司分析认为,这三者的相似之处在于:一是攻击均利用了 STK 指令,二是攻击目的一致, 均可获取位置信息、联系人电话簿、短信内容、呼叫日志等数据,三是均使用短信外发数据。
图 1-3 ANT 针对 SIM 卡的网络攻击装备 MONKEYCALENDAR
图 1-4 ANT 针对 SIM 卡的网络攻击装备GOPHERSET
实施 Simjacker 攻击的组织还可以广泛访问 SS7 网络。“自适应移动安全”公司已经发现一些 Simjacker 受害者同时遭受了通过 SS7 进行的网络攻击,并认为该攻击方法被用作 Simjacker 漏洞攻击不成功时的后备方法。SS7 是通常用于局间的公共信道信令,叠加在运营者的交换网之上, 是支撑网的重要组成部分。2019 年发布的《Sim 卡及移动端核弹漏洞密集爆发:近期网络战顶级数字武器解析》[5]报告指出,能登入 SS7 网络发起攻击的黑客,很大概率具备国家背景。
“自适应移动安全”公司仅在墨西哥、哥伦比亚和秘 鲁检测到实际的攻击行为。早在 2013 年 7 月,英国路透社援引巴西知名报纸《环球报》报道称[6],根据斯诺登曝光的资料,一些拉美国家已成为 NSA 监视的主要目标,尤其是哥伦比亚、委内瑞拉、巴西和墨西哥。该报道证实了 NSA 对墨西哥等国的移动用户有特定的兴趣。
因担心披露具体的溯源方法将有损其在全球范围内检测和阻止 Simjacker 攻击的能力,“自适应移动安全”公司
并未直接指出实施该攻击的组织名称。但是基于其对Simjacker 攻击总体情况、技术特征、攻击武器、攻击路径、攻击对象等的分析,隐藏在 Simjacker 攻击后的“幕后黑手” NSA 已浮出水面。
(四) 延伸分析
根据斯诺登曝光资料,中国网络安全厂商安天梳理发 现,NSA 下属的 ANT 针对移动通讯设备进行扫描、监控和数据收集的攻击装备多达 15 种,约占全部已曝光的 48 种装备的三分之一。[7]
图 1-5 ANT 网络攻击装备库
这些装备软件、硬件均有所涉及,装备形态包括恶意 代码载荷、蜂窝塔、基站、信号收发器、手机等,可以组 合使用,达成复杂攻击作业目标。
表 1-1 ANT 针对移动通讯设备的网络攻击装备
攻击装备名称
针对设备及功能
软件植入方式/硬件
部署位置
DROPOUTJEEP
针对苹果 iPhone 操作系统的软件植入,能够从苹果设备远程推送/提取数据。能够收集的数据包括:短信、联系人电话簿、语音邮件、地理位置、热话筒、摄像头捕捉、蜂窝塔定位等,同时可以通过短信或 GPRS 数据连接进行
命令、控制和数据过滤
首版通过近距离安装植入,未来版本将寻求远程安装
GOPHERSET
针对 GSM 系统中 SIM 卡的软件植入。能够收集手机中联系人电话簿、短信和通话记录等并通过短信将其发送给指定手机号码
通过 USB 智能卡读取器或空中编程
(OTA)方式加载到
SIM 卡
MONKEYCALEN DAR
针对 GSM 系统中 SIM 卡的软件植入。能够收
集手机中的地理信息并通过短信将其发送给指定手机号码
通过 USB 智能卡读取
器或空中编程方式加载到 SIM 卡
TOTECHASER
针 对 卫 星 、 GSM 双 模 手 机 舒 拉 亚 2520
(Thuraya 2520)中 Windows CE 操作系统的软件植入。能够收集舒拉亚 2520 手机中的GPS 和 GSM 地理信息、通话记录、联系人电话簿和其他用户信息并通过短信将其发送给指定手机号码
现有版本需直接部署在舒拉亚 2520 手机上。正在研发可远程部署的版本
TOTEGHOSTLY 2.0
基于 StraitBizarre(一种可以实施量子注入攻击的跳板后门)的、针对 Windows Mobile 操作系统的软件植入,能够从 Windows 设备远程推送/提取数据。能够收集的数据包括:短信、联系人电话簿、语音邮件、地理位置、热话筒、摄像头捕捉、蜂窝塔定位等。通过短信或 GPRS 数据连接实现命令、控制和数据过滤
功能
首版本通过近距离安装植入。未来版本将寻求远程安装
PICASSO
经过修改的 GSM 系统(目标)手机。用以收集通话记录、位置等数据,甚至可以打开手机
麦克风来监听房间里的对话
以修改过的 GSM 手机替代目标手机
CROSSBEAM
一款可重复使用的符合 CHIMNEYPOOL 标准的 GSM 通信模块, 能够收集和压缩语音数据。可以接收 GSM 语音,记录语音数据,并通过连接的模块或 4 种不同的 GSM 数据模式
( GPRS 、 电 路 交 换 数 据 、 语 音 数 据 和
DTMF)将接收到的信息发送回安全设施
GSM 通信模块,部署至手机上
CANDYGRAM
模拟目标网络的 GSM 蜂窝塔。每当目标手机进入 CANDYGRAM 基站的影响区域时,系统
通过外部网络向注册的监测手机发送短信
GSM 蜂窝塔,部署至目标网络处
CYCLONE HX9
EGSM( 900MGz) 宏类( Macro-class) 盒中网络(Network-in-a-box,NIB)系统。它使用现有的 Typhon GUI 并支持完整的 Typhon 功能
库和应用程序
宏类盒中网络系统, 部署至基站
EBSR
具有内部 802 .11 / GPS /手机功能的多用途, Pico 类三频有源 GSM 基站
GSM 基站,部署至目标网络处
ENTOURAGE
在 HOLLOWPOINT 平台上运行的测向应用, 能够为 GSM/UMTS/CDMA2000/FRS 信号提供
方位线(LOB)
测向应用, 部署在
HOLLOWPOINT 平台
GENESIS
将一款商用 GSM 手机进行修改,增加软件无线电(SDR)及额外的系统内存。内部 SDR 允许有经验的用户在敌对环境中秘密执行网络
调查,记录 RF 频谱或执行手机定位
手持式信号收发器, 随身携带无需部署
NEBULA
多协议宏类盒中网络系统。它使用现有的Typhon GUI 并 支 持 GSM 、 UMTS 、CDMA2000 应用程序。支持 LTE 网络的能力
正在开发中
宏类盒中网络系统, 部署至基站
TYPHON HX
GSM 基 站 路 由 器 , 支 持 GSM 频 段
850/900/1800/1900 以及相关的完整 GSM 信令和呼叫控制
GSM 基站路由器,部署至基站网关
WATERWITCH
一种手持式精准定位工具,用于在现场对目标手机进行地理定位
手持式精准定位工具,随身携带无需部署
Simjacker 漏洞攻击的曝光是美方 ANT 攻击装备的应用案例,其所使用的技术、基础设施和方法证实美方网络攻 击能力较之前有了巨大飞跃,最突出的一点是美方已无需 近距离安装植入或 OTA 远程安装(此种方式攻击者需要掌握目标 SIM 卡的 OTA 密钥),仅通过短信即可启动监控,更具隐蔽性。“自适应移动安全”公司认为,攻击者已经利 用 Simjacker 漏洞实施攻击至少两年、监控了数以万计的用
户才被其发现并曝光。
以 NSA 为代表的美国情报机构拥有一套完整的制式化移动攻击装备组合,能够进行严密的组织作业,且其作业 过程高度隐蔽。
参考资料
[1] AdaptiveMobile Security. Simjacker Technical Paper. 2019.
[2] Simjacker 技术分析报告. 2019.
[3] Cathal McDaid. Simjacker Next Generation spying via SIM Card Vulnerability. 2019.
[4] Jacob Appelbaum, Judith Horchert, Christian Stöcker. Catalog Advertises NSA Toolbox. 2013.
https://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors- for-numerous-devices-a-940994.html
[5] Sim 卡及移动端核弹漏洞密集爆发:近期网络战顶级数字武器解析.2019.
[6] Anthony Boadle. NSA 'spied' on most Latin American nations: Brazil paper. 2013. idUSBRE96816H20130709/
[7] 2023 网络安全威胁回顾与展望. 2024.
html
第二篇 被偷走的“钥匙”——窃取手机 SIM 卡加密密钥
SIM 卡加密密钥是移动通信的重要组成部分,是保障通信安全的基础之一。在 SIM 卡加密密钥中鉴权密钥参与到移动设备入网合法性认证等工作中,为保障用户通信安 全发挥着重要作用。该密钥在生产过程中由 SIM 卡制造商刻入 SIM 卡,并提供给网络运营商。而正是这把保障手机通信安全的“钥匙”却成为了美英情报机构的目标。2010 年至 2011 年间,美英情报机构对荷兰 SIM 卡制造厂商金雅拓(Gemalto)实施“DAPINO GAMMA”行动,以窃取手机加密密钥。
图 2-1 NSA、GCHQ 的 DAPINO GAMMA 行动案例清单
(一) 事件回顾
2015 年 2 月 20 日, 美国“ 拦截者” 网站( The Intercept)依据斯诺登泄露的文件,发表名为“SIM 卡大劫案——间谍如何窃取加密城堡的钥匙”[1]的文章。披露在2010 年至 2011 年间,由 NSA 和“五眼联盟”情报体系重要组织之一,英国政府通信总部(GCHQ)组成的“移动手机开发小组”(MHET)对 SIM 卡制造商金雅拓公司实施了名为“DAPINO GAMMA”的行动,旨在大量窃取用于保障个人手机与移动网络通信安全的鉴权密钥。美西方情报 机构通过窃取手机 SIM 卡鉴权密钥,进而获取手机通信数据的行为被暴露无遗。
荷兰金雅拓公司是全球最大的 SIM 卡制造商之一,
2019 年被法国军工企业泰雷兹集团( THALES ) 收购。
2010 年前后其客户涉及全球 85 个国家的近 450 家移动运营商,每年生产约 20 亿张 SIM 卡[1]。斯诺登泄露的文件显示, 仅在 3 个月的行动“测试”期间,GCHQ 就收集了数百万个手机 SIM 卡鉴权密钥,涉及伊朗、阿富汗、也门、印度、塞尔维亚、冰岛和塔吉克斯坦等国的多家移动运营商[2],密钥窃取量可见一斑。此外,行动期间美英情报机构紧密配合,GCHQ 使用 NSA 的 XKEYSCORE 系统进行目标筛选与锁定,其获得的 SIM 卡密钥也与 NSA 情报共享。
(二) 攻击方式
使用 NSA 的 XKEYSCORE 系统锁定目标: 行动中MHET 使用 NSA 的 XKEYSCORE 系统截获了金雅拓公司与移动运营商邮件服务器上的大量电子邮件,通过对邮件内 容的分析找到可能有权访问金雅拓核心网络和密钥生成系 统的重点人员或线索。
XKEYSCORE 是 NSA 用于检索和分析全球互联网数据的系统。XKEYSCORE 系统通过分布全球 150 个站点的服务器,实时拦截电子邮件、网络电话、网络聊天记录以及 浏览历史等数据[3]。分析人员可以通过姓名、电话号码、IP 地址、浏览器等多种关键字来查找目标网络活动的内容数 据和元数据。凭借该系统,NSA 可对互联网上特定目标的一举一动尽收眼底。XKEYSCORE 还具有良好的扩展性, 可以与 NSA 的 TURBULENCE(湍流)网络攻击作业体系集成或交互,对其他渠道采集的网络信息进行自动分析, 并触发任务逻辑;也可以接受来自其他项目任务的数据
(如,外国卫星通信收集 SKIDROWE 项目的数据),并提供分析处理功能;XKEYSCORE 也为“五眼联盟”国家使用和共享情报提供支持[4]。
MHET 在邮件排查中发现,金雅拓公司采用电子邮件或 FTP 的方式,向其全球运营商客户批次发送 SIM 卡加密密钥。而在密钥文件的传输上,金雅拓仅采用易破解的简
单加密方式,有时甚至不对密钥文件进行加密就直接传输。这种粗放的传输方式为美英情报机构截获密钥文件创造了 条件。
入侵金雅拓公司的内部网络:为了更方便、更准确的 窃取 SIM 卡加密密钥,MHET 还入侵了金雅拓公司的内部网络,在多台内部计算机上植入恶意软件,为访问金雅拓 公司内网提供权限,为截取密钥查找目标。斯诺登泄露文 件显示,MHET 已经“成功地植入了金雅拓的多台机器, 掌握了其整个网络,正在处理获取的数据”[5]。
开发程序批量窃取密钥:在前期侦察的基础上,MHET 成功截获了多个金雅拓个性化中心与移动运营商之间互联 网通信数据,获取加密密钥。“拦截者”网站文章称,仅在 1 个月的时间内,MHET 就访问了与网络运营商或金雅拓有
联系的 130 人的电子邮件,获取了近 8,000 个与 10 个国家
特定手机相匹配的密钥,通过挖掘 6 个电子邮件,获取了
85,000 个加密密钥[1]。
为了进一步更大范围、更大量的窃取金雅拓与移动运营商之间传输的加密密钥,美英情报人员还专门开发了一种自动化拦截、采集密钥的程序。文件显示使用该程序“情报人员可以发现大量采用人工方式没有发现的密钥”[6]。不仅如此,2011 年 GCHQ 还发起了一项名为“HIGHLAND FLING”的行动,目标包括“攻击金雅拓位于法国的核心数
据存储库”、“渗透一个或多个将加密密钥写入 SIM 卡的金雅拓个性化中心”、以及“ 对德国 SIM 卡巨头捷德公司
(Giesecke&Devrient)采取类似的密钥盗窃行动”[7]。
(三) 延伸分析
SIM 卡加密密钥是手机与移动网络进行身份认证和信道加解密的重要工具。窃取 SIM 卡加密密钥可以为情报机构针对手机的抵近侦察提供技术支撑。如果拥有了目标手 机的加密密钥,攻击者将更容易实现伪基站与目标手机的 认证连接,特别是在安全性更高的 3G、4G 网络中。拥有了加密密钥将更容易破解通信加密,还原出明文通信内容。 正如美国约翰·霍普金斯大学(Johns Hopkins University)密码破解专家马修·格林(Matthew Green)所说“对于 2G网络来说还有其他方法可以侵入网络,但 3G、4G 网络并不容易破解,所以密钥就显得尤为重要”[1]。此外、美英情报机构窃取未启用的 SIM 卡加密密钥还可以建立手机 SIM 卡加密密钥数据库,为未来的信号情报(SIGINT)提供支撑。 提到信号情报获取, 最为庞大的就是由美国主导的
“梯队”(ECHELON)全球信号情报收集和分析系统。该系统由 NSA、GCHQ、加拿大通信安全局(CSEC)、澳大利亚信号局(ASD)和新西兰政府通讯安全局(GCSB)联 合建立。系统最早成立于 20 世纪 70 年代,起初用于冷战期间监控苏联及其阵营之间的军事和外交通信,冷战结束后
转为截获全球范围内的商业和个人通信。“梯队”系统通过 无区别地拦截通信数据,从海量数据中识别和提取有价值 的信息。系统在世界各地建立了多套拦截设施并在“五眼 联盟”国家设置了站点,执行远程情报收集和处理任务。
“梯队”系统的站点通过拦截卫星通信、交换电话网 络和微波链路承载的通信数据,分析和处理全球范围内的 电话呼叫、传真、电子邮件和其他流量数据。在系统中每 个站点都会自动检索截获的数百万条消息并进行关键字匹 配。系统的检索列表不仅包含站点所在国情报机构设置的 关键词,还包含为五眼联盟其他机构设置的关键词。每当 遇到包含某个情报机构关键词的数据时,它会自动挑选出 该消息并将其直接发送到相关情报机构[8]。
不论是对手机 SIM 卡加密密钥的窃取,还是通过“梯队”系统对全球信号情报数据的收集,都反映出以美国为 首的西方情报机构对全球信号情报数据持续的、大规模的 疯狂搜集。无论是终端设备还是骨干线路,无论是政府官 员、技术专家等高价值目标还是普通民众,都有可能成为 美情报机构开展情报活动的目标。
参考资料
[1] Jeremy Scahill,Josh Begley. The Intercept. THE GREAT SIM HEIST. 2015.
[2] Grant Gross. Spy agencies hacked SIM card maker's encryption. 2015.
makers-encryption.html
[3] Glenn Greenwald. The Guardian. XKeyscore: NSA tool collects nearly everything a user does on the internet. 2013. data
[4] “美国网络空间攻击与主动防御能力解析”系列文章 12 篇. 网信军民融合.
2017(12)-2018(11).
[5] David Gilbert. International Business Times UK. US and UK spies hack SIM card encryption to monitor mobile phone conversations. 2015. https://www.ibtimes.co.uk/us-uk-spies-hack-sim-card-encryption-monitor-
mobile-phone-conversations-1488759
[6] Snowden Archive. PCS Harvesting at Scale. 2015. https://grid.glendon.yorku.ca/items/show/269
[7] Snowden Archive. DAPINO GAMMA CNE Presence and IPT keys : Our workshops aims. 2015.
https://grid.glendon.yorku.ca/items/show/333
[8] Nicky Hager. EXPOSING THE GLOBAL SURVEILLANCE SYSTEM. 2018. https://cryptome.org/echelon.htm
第三篇 悄无声息的入侵——针对苹果手机的
“零点击”攻击
iOS 系统平台是由苹果公司开发的移动操作系统,用于iPhone、iPad 和 iPod touch 等苹果移动设备。iOS 系统平台内置了一些苹果独有的功能,如 iMessage 就是苹果公司开发的即时通信服务,具有发送和接收短信、图像、视频和 文档等多种功能,为苹果用户提供便捷的社交体验。而这 类即时通信服务却成为了美情报机构利用的目标,美情报 机构通过该类服务向苹果手机用户发送恶意代码或攻击载 荷,以达到窃取手机数据的目的。2023 年 6 月俄罗斯联邦安全局(FSB)发表声明,指责 NSA 实施了针对苹果手机的“三角测量行动”(Operation Triangulation)。
图 3-1 NSA“三角测量行动”(Operation Triangulation)案例清单
(一) 事件回顾
2023 年 6 月 1 日,网络安全公司卡巴斯基表示,其数十名高级员工的苹果手机遭受到入侵并发布名为《三角测 量行动:iOS 设备被前所未知的恶意软件攻击》[1]的报告, 揭露了一起最早可追溯到 2019 年的针对苹果手机和 iPad 设备的“零点击”攻击恶意行动。“零点击”攻击是指在整个 攻击过程中无需手机用户进行任何交互操作,就可完成对 目标移动设备的植入。由于攻击过程中使用了绘制并验证 三角形来识别目标的技术,研究人员将这一系列攻击活动 命名为“三角测量行动”[2]。随后,卡巴斯基陆续发布了共6 份相关报告[3-6]。
同日,俄罗斯联邦安全局(FSB)发布声明指责美苹果公司与 NSA“密切合作”,通过复杂的恶意软件入侵了数千部苹果手机,目标主要为“驻俄罗斯和后苏联国家的外国 外交人员,包括北约成员国、以色列、叙利亚和中国的外 交人员以及部分俄罗斯当地用户”。FSB 称“苹果公司为美情报机构对俄开展情报监视活动提供了机会与条件,监视 对象也包括美在反俄活动中的合作伙伴以及美国自己的公 民”[7]。
(二) 攻击方式
“三角测量行动”利用 iOS 系统内置的 iMessage 消息
服务和 iOS 系统 4 个零日漏洞,实现对苹果设备的“零点击”攻击。
图 3-2 “三角测量行动”攻击链示意图[6]
攻击者首先通过 iMessage 服务器向目标 iOS 设备发送包含隐藏恶意附件的 iMessage 信息,设备在收到消息后, 自动触发系统 4 个零日漏洞,自动完成后续恶意程序的植入。攻击者起初利用 WebKit 内存损坏和字体解析漏洞获取执行权限,随后利用整形溢出漏洞提升得到内核权限,再利用多个内存漏洞突破苹果硬件级的安全防御功能,在设备上执行并植入恶意程序。整个过程完全隐藏,不需要用户执行任何操作。恶意程序悄悄地将手机内的个人信息自动传输到设置好的远程服务器上。包括麦克风录音、即时通信的照片、地理位置以及设备的其他数据。
卡巴斯基针对主要的植入武器进行分析并将其命名为TriangleDB。TriangleDB 在获取 iOS 系统内核 ROOT 权限后仅部署在手机内存中,手机重新启动后 TriangleDB 就会消
失,攻击者则须重新发送 iMessage 再次部署。如果在整个攻击过程中手机始终没有重启,TriangleDB 也将在 30 天后自行卸载消失,这一特性进一步增加了其隐蔽性[4]。
TriangleDB 在被部署前还有一个被称为“二进制验证器” 的组件,该组件负责删除日志痕迹以及搜集命中设备的详细信息,并将这些信息发回 C2 服务器供攻击者判断设备价值, 决定是否执行 TriangleDB 流程, 若正常执行, TriangleDB 则从 C2 服务器加载调用多个子间谍模块,包括麦克风录音模块、KeyChain 凭证获取模块、SQLite 数据库窃密模块、GPS 定位模块、短信窃密模块等,支持攻击者开展平台级别的窃密操作活动,期间所有通信流量都经过对称(3DES)和非对称(RSA)算法加密并通过 HTTPS 协议进
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
