美情報(bào)機(jī)構(gòu)針對(duì)全球移動(dòng)智能終端實(shí)施的監(jiān)聽竊密活動(dòng)

美情報(bào)機(jī)構(gòu)針對(duì)全球移動(dòng)智能終端實(shí)施的監(jiān)聽竊密活動(dòng)目 錄引 言 1篇 對(duì)擊 5） 顧 6） 式 7） 析 9） 析 料 14篇 機(jī)SIM鑰 15） 顧 16） 式 17） 析 19料 20篇 擊 22） 顧 23） 式 23） 析 26料 27篇 用 29） 顧 30） 用 30） 析 33料 34篇 的據(jù) 36） 顧 37） 析 38） 析 39料 40篇 數(shù) 42） 顧 43） 式 43） 析 47料 48篇 機(jī) 50） 站 51） 徑 53料 54篇 用絡(luò) 57） 顧 58） 析 59） 析 61料 62篇網(wǎng)PC擊力 ） 顧 65） 析 65） 秘 66） 析 68料 69篇 擊 71） 顧 72） 秘 73） 析 74料 75篇 口 76） 顧 77） 作 79） 害 82料 83結(jié) 語(yǔ) 85表 90引言全球移動(dòng)智能終端用戶量巨大。2023月國(guó)際電信聯(lián)盟（ITU）發(fā)布的《2023年事實(shí)與數(shù)據(jù)》報(bào)告顯示，全球1078%，3G及以上的移動(dòng)寬帶在全球總?cè)丝诘母采w率為95%。智能手機(jī)不再局限于傳統(tǒng)的運(yùn)營(yíng)商通訊功能，而是成為日常購(gòu)物、娛樂(lè)、社交、學(xué)習(xí)、生活服務(wù)的基本入口，更是移動(dòng)辦公的節(jié)點(diǎn)，甚至成為接入各種政企內(nèi)網(wǎng)的身份令牌。但同時(shí)，手機(jī)等移動(dòng)智能終端也潛伏著巨大的網(wǎng)絡(luò)安PC端具有更廣泛的感知能力，配置高精度傳感器，以及攝像頭、麥克風(fēng)等信號(hào)采集裝置。通過(guò)對(duì)設(shè)備上的數(shù)據(jù)資產(chǎn)的收集和分析，能夠?qū)δ繕?biāo)人員的工作生活軌跡、行為習(xí)慣、心理特點(diǎn)以及社會(huì)關(guān)系和周邊環(huán)境，進(jìn)行定向精準(zhǔn)畫像分析，甚至可以通過(guò)漏洞利用和惡意代碼投放攻擊控制手機(jī)，實(shí)現(xiàn)全方位監(jiān)聽監(jiān)視。一部失陷手機(jī)就如同行走的竊聽器、監(jiān)視器，所到之處無(wú)密可保，全部透明于攻擊者的“上帝視角”之下。而對(duì)于被引入作為移動(dòng)辦公環(huán)境的手機(jī)等智能終端設(shè)備而言，一旦失陷，不僅可能造成與目標(biāo)相關(guān)的更高價(jià)值數(shù)據(jù)資產(chǎn)泄露，更可能成為攻擊者入侵政企機(jī)構(gòu)內(nèi)網(wǎng)的突破口和跳板。手機(jī)等移動(dòng)智能終端因蘊(yùn)藏著巨大數(shù)據(jù)資源價(jià)值，從出現(xiàn)開始，就為美國(guó)情報(bào)機(jī)構(gòu)所覬覦。在過(guò)去二十多年的時(shí)間里，全球關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、安全廠商、研究者所面臨的重大考驗(yàn)是，如何發(fā)現(xiàn)、分析和應(yīng)對(duì)以美國(guó)國(guó)家安全局（NSA、美國(guó)中央情報(bào)局（CA）等為代表的美國(guó)情報(bào)機(jī)構(gòu)發(fā)動(dòng)的網(wǎng)絡(luò)攻擊活動(dòng)。相比傳統(tǒng)PC端，手機(jī)等移動(dòng)智能終端有更多的網(wǎng)絡(luò)安全暴露面和可攻擊面，包括涉及硬件、固件、系統(tǒng)和應(yīng)用的終端設(shè)備層面，涉及數(shù)據(jù)接口、Wi-Fi、藍(lán)牙、蜂窩網(wǎng)絡(luò)、GPS等地理定位在內(nèi)的信息交互層面，同時(shí)手機(jī)系統(tǒng)的安全性與復(fù)雜的軟硬件供應(yīng)鏈體系相關(guān)、與APP應(yīng)用的產(chǎn)業(yè)生態(tài)相關(guān)、與運(yùn)營(yíng)商的信號(hào)傳輸和大型互聯(lián)網(wǎng)平臺(tái)廠商數(shù)據(jù)存儲(chǔ)匯聚相關(guān)，這些都是美方情報(bào)機(jī)構(gòu)覬覦的環(huán)節(jié)和重點(diǎn)攻擊的目標(biāo)。本報(bào)告梳理匯聚了大量業(yè)界和學(xué)界對(duì)美方情報(bào)機(jī)構(gòu)針對(duì)移動(dòng)智能終端開展的網(wǎng)絡(luò)情報(bào)活動(dòng)的披露分析（見下圖從終端設(shè)備、通信基礎(chǔ)設(shè)施以及運(yùn)營(yíng)商和互聯(lián)網(wǎng)廠商幾個(gè)攻擊目標(biāo)層面對(duì)各方研究成果進(jìn)行了分類整合，旨在對(duì)美方針對(duì)移動(dòng)終端、移動(dòng)產(chǎn)業(yè)鏈和供應(yīng)鏈、運(yùn)營(yíng)商、大型互聯(lián)網(wǎng)廠商的網(wǎng)絡(luò)攻擊活動(dòng)和信息獲取行為進(jìn)行全局性認(rèn)知和了解，以建立體系化防范能力，有效覆蓋移動(dòng)產(chǎn)業(yè)鏈和應(yīng)用生態(tài)、關(guān)鍵信息基礎(chǔ)設(shè)施和政企網(wǎng)絡(luò)場(chǎng)景。本報(bào)告第1篇至第5篇聚焦美方針對(duì)移動(dòng)智能終端硬件、固件、系統(tǒng)和應(yīng)用的攻擊；第610篇聚焦美方針對(duì)2篇為美方針對(duì)運(yùn)營(yíng)商及智能終端的組合攻擊；第篇重新解析“棱鏡”計(jì)劃，揭露美情報(bào)機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)廠商的超級(jí)數(shù)據(jù)訪問(wèn)接口獲取移動(dòng)智能終端數(shù)據(jù)、進(jìn)行大數(shù)據(jù)分析的情報(bào)活動(dòng)。見下圖：全球各界披露的分析研究成果，共同揭露了美方針對(duì)全球移動(dòng)智能終端開展的監(jiān)聽竊密行動(dòng)，無(wú)孔不入、肆無(wú)忌憚、變本加厲。第一篇 一條短信“接管”手機(jī)——針對(duì)SIM卡漏洞的高度復(fù)雜攻擊SIM卡是移動(dòng)通信系統(tǒng)的用戶身份識(shí)別模塊，用來(lái)登記用戶身份識(shí)別數(shù)據(jù)和信息。利用SIM卡漏洞實(shí)施的攻擊有一個(gè)明顯的特點(diǎn)，即攻擊不受硬件類型的限制。理論上，所有品牌和型號(hào)的手機(jī)，甚至帶有SIM卡的物聯(lián)網(wǎng)設(shè)備、可穿戴設(shè)備，無(wú)論安裝有何種操作系統(tǒng)，只要插入的SIM卡中存在漏洞，即能夠被攻擊利用。20199月，愛爾蘭網(wǎng)絡(luò)安全公司曝光一起利用SIMS@T瀏覽器中Simjacker漏洞，針對(duì)墨西哥、哥倫比亞和秘魯?shù)氖謾C(jī)用戶實(shí)施的網(wǎng)絡(luò)攻擊活動(dòng)，指出該攻擊與斯諾登曝光的NSA兩SIMMONKEYCALENDARGOPHERSET十分相似。圖1-1NSA利用Simjacker漏洞實(shí)施攻擊案例清單（一）事件回顧20199日，總部位于愛爾蘭都柏林的網(wǎng)絡(luò)安全（AdaptiveobileSecuity）曝光了SIMS@TSimjacker漏洞的攻擊活動(dòng)[1]。該攻擊活動(dòng)將特殊格式的二進(jìn)制數(shù)據(jù)短信發(fā)送到手機(jī)，如SIM卡內(nèi)存在S@T瀏覽器，則觸發(fā)Simjacker漏洞，執(zhí)行惡意指令，實(shí)現(xiàn)定位、竊密等惡意目的。SimjackerSIM卡嵌入的功能組件有關(guān)，理論上插入含有該漏洞的SIM卡的所有品牌和型號(hào)的手機(jī)都可能受到攻擊，甚至包括帶有SIM卡的物聯(lián)網(wǎng)設(shè)備和可穿戴設(shè)備。因此雖然“自適應(yīng)移動(dòng)安全”公司僅在墨西哥、哥倫比亞和秘魯檢測(cè)到實(shí)際的攻擊行為，但當(dāng)時(shí)全球29個(gè)SIM10億用戶?！白赃m應(yīng)移動(dòng)安全”公司指出，一方面Simjacker攻擊4SIM卡漏洞的攻擊十分相似，其中包括NSASIM卡攻擊裝備；另一方面實(shí)施者需要具有非常廣泛技能、經(jīng)驗(yàn)和資源，需要具備訪問(wèn)（7號(hào)信令）網(wǎng)絡(luò)的權(quán)限，對(duì)墨西哥等國(guó)移動(dòng)用戶有特定的興趣，認(rèn)為NSA是全球少數(shù)具備上述能力和特質(zhì)的攻擊實(shí)體。（二）攻擊方式201910月發(fā)布的《Simjacker技術(shù)分析報(bào)告》[2]Simjacker攻擊利用部分運(yùn)營(yíng)商發(fā)行的SIMS@T瀏覽器對(duì)收到的消息有效性不做校驗(yàn)這個(gè)安全配置錯(cuò)誤，實(shí)現(xiàn)對(duì)目標(biāo)遠(yuǎn)程定位等攻擊。S@T瀏覽器，全稱為SIMalliance瀏覽器，是SIM卡內(nèi)置軟件，其最初目的是啟用諸如通過(guò)SIM卡獲取用戶賬戶余額等服務(wù)，因此并不廣為人知。截至2019年，S@T10年未更新，但當(dāng)時(shí)該瀏覽器作為遺SIM卡的自帶組件。Simjacker的攻擊步驟：第一步：攻擊者使用普通手機(jī)、GSM調(diào)制解調(diào)器或者A2P短信服務(wù)，向攻擊目標(biāo)發(fā)送SMS-PP（點(diǎn)對(duì)點(diǎn)）類型的短信，目標(biāo)應(yīng)用是SIM卡中的S@T瀏覽器；SMS-PP類型的短信后，手機(jī)上的邏輯被觸發(fā)，S@T瀏覽器成為SIM卡上的執(zhí)行環(huán)境，SIM卡“接管”手機(jī)，接收和執(zhí)行敏感指令；第三步：攻擊代碼一旦從手機(jī)檢索到位置和特定設(shè)備信息（IMEI）等信息，就會(huì)對(duì)其進(jìn)行整理，并再次觸發(fā)手機(jī)上的邏輯，通過(guò)“數(shù)據(jù)消息”將合并后的信息發(fā)送到接收者號(hào)碼。圖1-2Simjacker漏洞攻擊技術(shù)流程S@T瀏覽器能夠執(zhí)行的命令包括獲取設(shè)備當(dāng)前位置、IMEI信息、網(wǎng)絡(luò)信息、語(yǔ)言信息、發(fā)送短信、播放音頻、啟動(dòng)瀏覽器等，因此甚至能夠強(qiáng)制手機(jī)發(fā)送虛假短信、撥打電話進(jìn)行電信欺詐、打開惡意網(wǎng)站等?！白赃m應(yīng)移動(dòng)安全”公司的首席技術(shù)官卡索·麥戴特（CathalMcDaid）表示[3]，Simjacker漏洞攻擊的特別之處一是受害者完全無(wú)感，收到的帶有攻擊消息的短信及發(fā)送的數(shù)據(jù)消息均未在短信記錄中留痕。二是該攻擊可能是“第一個(gè)真實(shí)存在的在短信中發(fā)送完整的惡意軟件本身的用戶點(diǎn)擊鏈接下載。三是因?yàn)槁┒匆蕾囉赟IM卡上的軟件而不是移動(dòng)設(shè)備，所以各種類型手機(jī)均會(huì)遭受攻擊。蘋果、摩托羅拉、三星、谷歌、華為、中興等幾乎每個(gè)制造商的移動(dòng)設(shè)備都被觀察到遭受攻擊，甚至還有帶有SIM卡的物聯(lián)網(wǎng)設(shè)備。（三）溯源分析201312（DerSpiegel）披露了NSA48ANT攻擊裝備[4]安全”公司指出，SimjackerSIM卡的攻擊裝備——MONKEYCALENDARGOPHERSET頗具相似之處。GOPHERSETSIM工具包（STK）的應(yīng)用SIMSTK指令搜集對(duì)方的呼叫記錄、短信內(nèi)容、聯(lián)系人電話簿，并通過(guò)短信服務(wù)將提取到的數(shù)據(jù)發(fā)送到指定的號(hào)碼。MONKEYCALENDAR則是一種針對(duì)全球移動(dòng)通信系統(tǒng)GSMSIM卡植入的間諜軟件，該軟件同樣基于SM工具包（SK，主要用于獲取目標(biāo)SIM卡的位置信息。“自適應(yīng)移動(dòng)安全”公司分析認(rèn)為，這三者的相似之處在于：一是攻擊均利用了STK指令，二是攻擊目的一致，均可獲取位置信息、聯(lián)系人電話簿、短信內(nèi)容、呼叫日志等數(shù)據(jù)，三是均使用短信外發(fā)數(shù)據(jù)。圖1-3ANT針對(duì)SIM卡的網(wǎng)絡(luò)攻擊裝備MONKEYCALENDAR圖1-4ANT針對(duì)SIM卡的網(wǎng)絡(luò)攻擊裝備GOPHERSET實(shí)施Simjacker攻擊的組織還可以廣泛訪問(wèn)SS7網(wǎng)絡(luò)。“自適應(yīng)移動(dòng)安全”公司已經(jīng)發(fā)現(xiàn)一些Simjacker受害者同時(shí)遭受了通過(guò)SS7進(jìn)行的網(wǎng)絡(luò)攻擊，并認(rèn)為該攻擊方法被用作Simjacker漏洞攻擊不成功時(shí)的后備方法。SS7是通常用于局間的公共信道信令，疊加在運(yùn)營(yíng)者的交換網(wǎng)之上，是支撐網(wǎng)的重要組成部分。2019年發(fā)布的《Sim卡及移動(dòng)端核彈漏洞密集爆發(fā)：近期網(wǎng)絡(luò)戰(zhàn)頂級(jí)數(shù)字武器解析》[5]報(bào)告指出，能登入SS7網(wǎng)絡(luò)發(fā)起攻擊的黑客，很大概率具備國(guó)家背景?！白赃m應(yīng)移動(dòng)安全”公司僅在墨西哥、哥倫比亞和秘魯檢測(cè)到實(shí)際的攻擊行為。早在20137月，英國(guó)路透社援引巴西知名報(bào)紙《環(huán)球報(bào)》報(bào)道稱[6]NSA監(jiān)視的主要目標(biāo)，尤其是哥倫比亞、委內(nèi)瑞拉、巴西和墨西哥。該報(bào)道證實(shí)了NSA對(duì)墨西哥等國(guó)的移動(dòng)用戶有特定的興趣。因擔(dān)心披露具體的溯源方法將有損其在全球范圍內(nèi)檢測(cè)和阻止Sijacker攻擊的能力，“自適應(yīng)移動(dòng)安全”公司并未直接指出實(shí)施該攻擊的組織名稱。但是基于其對(duì)Simjacker攻擊總體情況、技術(shù)特征、攻擊武器、攻擊路徑、攻擊對(duì)象等的分析，隱藏在Simjacker攻擊后的“幕后黑手”NSA已浮出水面。（四）延伸分析根據(jù)斯諾登曝光資料，中國(guó)網(wǎng)絡(luò)安全廠商安天梳理發(fā)現(xiàn)，NSAANT針對(duì)移動(dòng)通訊設(shè)備進(jìn)行掃描、監(jiān)控和1548種裝備的三分之一。[7]圖1-5ANT網(wǎng)絡(luò)攻擊裝備庫(kù)這些裝備軟件、硬件均有所涉及，裝備形態(tài)包括惡意代碼載荷、蜂窩塔、基站、信號(hào)收發(fā)器、手機(jī)等，可以組合使用，達(dá)成復(fù)雜攻擊作業(yè)目標(biāo)。表1-1ANT針對(duì)移動(dòng)通訊設(shè)備的網(wǎng)絡(luò)攻擊裝備攻擊裝備名稱針對(duì)設(shè)備及功能軟件植入方式/硬件部署位置DROPOUTJEEP針對(duì)蘋果iPhone操作系統(tǒng)的軟件植入，能夠從蘋果設(shè)備遠(yuǎn)程推送/提取數(shù)據(jù)。能夠收集的數(shù)據(jù)包括：短信、聯(lián)系人電話簿、語(yǔ)音郵件、地理位置、熱話筒、攝像頭捕捉、蜂窩塔定位等，同時(shí)可以通過(guò)短信或GPRS數(shù)據(jù)連接進(jìn)行命令、控制和數(shù)據(jù)過(guò)濾首版通過(guò)近距離安裝植入，未來(lái)版本將尋求遠(yuǎn)程安裝GOPHERSETGSMSIM卡的軟件植入。能夠收集手機(jī)中聯(lián)系人電話簿、短信和通話記錄等并通過(guò)短信將其發(fā)送給指定手機(jī)號(hào)碼通過(guò)USB智能卡讀取器或空中編程（OTA）方式加載到SIM卡MONKEYCALENDAR針對(duì)GSM系統(tǒng)中SIM卡的軟件植入。能夠收集手機(jī)中的地理信息并通過(guò)短信將其發(fā)送給指定手機(jī)號(hào)碼通過(guò)USB智能卡讀取器或空中編程方式加載到SIM卡TOTECHASERGSM2520（Thuraya2520）中WindowsCE操作系統(tǒng)的軟件植入。能夠收集舒拉亞2520手機(jī)中的GPS和GSM地理信息、通話記錄、聯(lián)系人電話簿和其他用戶信息并通過(guò)短信將其發(fā)送給指定手機(jī)號(hào)碼現(xiàn)有版本需直接部署在舒拉亞2520手機(jī)上。正在研發(fā)可遠(yuǎn)程部署的版本TOTEGHOSTLY2.0基于StraitBizarre（一種可以實(shí)施量子注入攻擊的跳板后門）的、針對(duì)WindowsMobile操作系統(tǒng)的軟件植入，能夠從Windows設(shè)備遠(yuǎn)程推送/提取數(shù)據(jù)。能夠收集的數(shù)據(jù)包括：短信、聯(lián)系人電話簿、語(yǔ)音郵件、地理位置、熱話筒、攝像頭捕捉、蜂窩塔定位等。通過(guò)短信或GPRS數(shù)據(jù)連接實(shí)現(xiàn)命令、控制和數(shù)據(jù)過(guò)濾功能首版本通過(guò)近距離安裝植入。未來(lái)版本將尋求遠(yuǎn)程安裝PICASSO經(jīng)過(guò)修改的GSM系統(tǒng)（目標(biāo)）手機(jī)。用以收集通話記錄、位置等數(shù)據(jù)，甚至可以打開手機(jī)麥克風(fēng)來(lái)監(jiān)聽房間里的對(duì)話以修改過(guò)的GSM手機(jī)替代目標(biāo)手機(jī)CROSSBEAM一款可重復(fù)使用的符合CHIMNEYPOOL標(biāo)準(zhǔn)GSM通信模塊，能夠收集和壓縮語(yǔ)音數(shù)GSM語(yǔ)音，記錄語(yǔ)音數(shù)據(jù)，并4GSM數(shù)據(jù)模式（GPRSDTMF）將接收到的信息發(fā)送回安全設(shè)施GSM通信模塊，部署至手機(jī)上CANDYGRAM模擬目標(biāo)網(wǎng)絡(luò)的GSM蜂窩塔。每當(dāng)目標(biāo)手機(jī)進(jìn)入CANDYGRAM基站的影響區(qū)域時(shí)，系統(tǒng)通過(guò)外部網(wǎng)絡(luò)向注冊(cè)的監(jiān)測(cè)手機(jī)發(fā)送短信GSM蜂窩塔，部署至目標(biāo)網(wǎng)絡(luò)處CYCLONEHX9EGSM（900MGz）（Macro-class）網(wǎng)絡(luò)（Network-in-a-box，NIB）系統(tǒng)。它使用TyphonGUITyphon功能庫(kù)和應(yīng)用程序宏類盒中網(wǎng)絡(luò)系統(tǒng)，部署至基站EBSR具有內(nèi)部802.11/GPS/手機(jī)功能的多用途，Pico類三頻有源GSM基站GSM基站，部署至目標(biāo)網(wǎng)絡(luò)處ENTOURAGE在HOLLOWPOINT平臺(tái)上運(yùn)行的測(cè)向應(yīng)用，能夠?yàn)镚SM/UMTS/CDMA2000/FRS信號(hào)提供方位線（LOB）測(cè)向應(yīng)用，部署在HOLLOWPOINT平臺(tái)GENESIS將一款商用GSM手機(jī)進(jìn)行修改，增加軟件無(wú)線電（SDR）及額外的系統(tǒng)內(nèi)存。內(nèi)部SDR允許有經(jīng)驗(yàn)的用戶在敵對(duì)環(huán)境中秘密執(zhí)行網(wǎng)絡(luò)調(diào)查，記錄RF頻譜或執(zhí)行手機(jī)定位手持式信號(hào)收發(fā)器，隨身攜帶無(wú)需部署NEBULA多協(xié)議宏類盒中網(wǎng)絡(luò)系統(tǒng)。它使用現(xiàn)有的TyphonGUI并支持GSM、UMTS、CDMA2000應(yīng)用程序。支持LTE網(wǎng)絡(luò)的能力正在開發(fā)中宏類盒中網(wǎng)絡(luò)系統(tǒng)，部署至基站TYPHONHXGSM基站路由器，支持GSM頻段850/900/1800/1900以及相關(guān)的完整GSM信令和呼叫控制GSM基站路由器，部署至基站網(wǎng)關(guān)WATERWITCH一種手持式精準(zhǔn)定位工具，用于在現(xiàn)場(chǎng)對(duì)目標(biāo)手機(jī)進(jìn)行地理定位手持式精準(zhǔn)定位工具，隨身攜帶無(wú)需部署SimjackerANT攻擊裝備的應(yīng)用案例，其所使用的技術(shù)、基礎(chǔ)設(shè)施和方法證實(shí)美方網(wǎng)絡(luò)攻擊能力較之前有了巨大飛躍，最突出的一點(diǎn)是美方已無(wú)需遠(yuǎn)程安裝（此種方式攻擊者需要掌握目標(biāo)SM卡的OA密鑰，僅通過(guò)短信即可啟動(dòng)監(jiān)控，Simjacker漏洞實(shí)施攻擊至少兩年、監(jiān)控了數(shù)以萬(wàn)計(jì)的用戶才被其發(fā)現(xiàn)并曝光。以NSA為代表的美國(guó)情報(bào)機(jī)構(gòu)擁有一套完整的制式化移動(dòng)攻擊裝備組合，能夠進(jìn)行嚴(yán)密的組織作業(yè)，且其作業(yè)過(guò)程高度隱蔽。參考資料AdaptiveMobileSecurity.SimjackerPaper.2019./Simjacker-Technical-PaperSimjacker技術(shù)分析報(bào)告.2019./s/hTgJEzbOxM5KMAIYK5ir3wCathalMcDaid.SimjackerNextGenerationspyingviaSIMCard2019.https:///insights/simjacker-next-generation-spying-over-mobile/JacobAppelbaum,JudithHorchert,ChristianSt?cker.CatalogAdvertisesNSA2013.https://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.htmlSim卡及移動(dòng)端核彈漏洞密集爆發(fā)：近期網(wǎng)絡(luò)戰(zhàn)頂級(jí)數(shù)字武器解析.2019.https:///articles/14161AnthonyBoadle.NSA'spied'onmostLatinAmericannations:Brazilpaper.2013.https:///article/us-usa-security-latinamerica-idUSBRE96816H20130709/2023網(wǎng)絡(luò)安全威脅回顧與展望.2024./research/notice&report/research_report/2023_AnnualReport.html第二篇 被偷走的“鑰匙”——竊取手機(jī)SIM卡加密密鑰SIM卡加密密鑰是移動(dòng)通信的重要組成部分，是保障通信安全的基礎(chǔ)之一。在SIM卡加密密鑰中鑒權(quán)密鑰參與到移動(dòng)設(shè)備入網(wǎng)合法性認(rèn)證等工作中，為保障用戶通信安全發(fā)揮著重要作用。該密鑰在生產(chǎn)過(guò)程中由SIM卡制造商SIM卡，并提供給網(wǎng)絡(luò)運(yùn)營(yíng)商。而正是這把保障手機(jī)通信安全的“鑰匙”卻成為了美英情報(bào)機(jī)構(gòu)的目標(biāo)。2010SIM卡制造廠商金雅拓（Gemalto）實(shí)施“DAPINOGAMMA”行動(dòng)，以竊取手機(jī)加密密鑰。圖2-1NSA、GCHQ的DAPINOGAMMA行動(dòng)案例清單（一）事件回顧2015220日，美國(guó)“攔截者”網(wǎng)站（TheIntercept）依據(jù)斯諾登泄露的文件，發(fā)表名為“SIM卡大劫案——間諜如何竊取加密城堡的鑰匙”[1]的文章。披露在20102011NSA和“五眼聯(lián)盟”情報(bào)體系重要組織之一，英國(guó)政府通信總部（GCHQ）組成的“移動(dòng)手（HET）對(duì)SM卡制造商金雅拓公司實(shí)施了名為“DAPINOGAMMA”的行動(dòng)，旨在大量竊取用于保障個(gè)人手機(jī)與移動(dòng)網(wǎng)絡(luò)通信安全的鑒權(quán)密鑰。美西方情報(bào)SIM卡鑒權(quán)密鑰，進(jìn)而獲取手機(jī)通信數(shù)據(jù)的行為被暴露無(wú)遺。荷蘭金雅拓公司是全球最大的SIM卡制造商之一，2019年被法國(guó)軍工企業(yè)泰雷茲集團(tuán)（THALES）201085450家移動(dòng)運(yùn)營(yíng)20SIM卡[1]3個(gè)月的行動(dòng)“測(cè)試”期間，GCHQ就收集了數(shù)百萬(wàn)個(gè)手機(jī)SIM卡鑒權(quán)密鑰，涉及伊朗、阿富汗、也門、印度、塞爾維亞、冰島和塔吉克斯坦等國(guó)的多家移動(dòng)運(yùn)營(yíng)商[2]，密鑰竊取量可見一斑。此外，行動(dòng)期間美英情報(bào)機(jī)構(gòu)緊密配合，GCHQ使用NSAXKEYSCORE系統(tǒng)進(jìn)行目標(biāo)篩選與SIMNSA情報(bào)共享。（二）攻擊方式使用NSA的XKEYSCORE系統(tǒng)鎖定目標(biāo)：行動(dòng)中MHET使用NSAXKEYSCORE系統(tǒng)截獲了金雅拓公司與移動(dòng)運(yùn)營(yíng)商郵件服務(wù)器上的大量電子郵件，通過(guò)對(duì)郵件內(nèi)容的分析找到可能有權(quán)訪問(wèn)金雅拓核心網(wǎng)絡(luò)和密鑰生成系統(tǒng)的重點(diǎn)人員或線索。XKEYSCORENSA用于檢索和分析全球互聯(lián)網(wǎng)數(shù)據(jù)的系統(tǒng)。XKEYSCORE系統(tǒng)通過(guò)分布全球150個(gè)站點(diǎn)的服務(wù)器，實(shí)時(shí)攔截電子郵件、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)聊天記錄以及瀏覽歷史等數(shù)據(jù)[3]。分析人員可以通過(guò)姓名、電話號(hào)碼、地址、瀏覽器等多種關(guān)鍵字來(lái)查找目標(biāo)網(wǎng)絡(luò)活動(dòng)的內(nèi)容數(shù)據(jù)和元數(shù)據(jù)。憑借該系統(tǒng)，NSA可對(duì)互聯(lián)網(wǎng)上特定目標(biāo)的一舉一動(dòng)盡收眼底。XKEYSCORE還具有良好的擴(kuò)展性，NSATURBULENCE（湍流）網(wǎng)絡(luò)攻擊作業(yè)體系集成或交互，對(duì)其他渠道采集的網(wǎng)絡(luò)信息進(jìn)行自動(dòng)分析，并觸發(fā)任務(wù)邏輯；也可以接受來(lái)自其他項(xiàng)目任務(wù)的數(shù)據(jù)（如，外國(guó)衛(wèi)星通信收集SKDROE項(xiàng)目的數(shù)據(jù)，并提供分析處理功能；XKEYSCORE也為“五眼聯(lián)盟”國(guó)家使用和共享情報(bào)提供支持[4]。MHET在郵件排查中發(fā)現(xiàn)，金雅拓公司采用電子郵件FTP的方式，向其全球運(yùn)營(yíng)商客戶批次發(fā)送SIM卡加密密鑰。而在密鑰文件的傳輸上，金雅拓僅采用易破解的簡(jiǎn)這種粗放的傳輸方式為美英情報(bào)機(jī)構(gòu)截獲密鑰文件創(chuàng)造了條件。入侵金雅拓公司的內(nèi)部網(wǎng)絡(luò)：為了更方便、更準(zhǔn)確的SIM卡加密密鑰，MHET還入侵了金雅拓公司的內(nèi)部網(wǎng)絡(luò)，在多臺(tái)內(nèi)部計(jì)算機(jī)上植入惡意軟件，為訪問(wèn)金雅拓公司內(nèi)網(wǎng)提供權(quán)限，為截取密鑰查找目標(biāo)。斯諾登泄露文件顯示，MHET已經(jīng)“成功地植入了金雅拓的多臺(tái)機(jī)器，掌握了其整個(gè)網(wǎng)絡(luò)，正在處理獲取的數(shù)據(jù)”[5]。開發(fā)程序批量竊取密鑰：在前期偵察的基礎(chǔ)上，MHET成功截獲了多個(gè)金雅拓個(gè)性化中心與移動(dòng)運(yùn)營(yíng)商之間互聯(lián)個(gè)月的時(shí)間內(nèi)，MHET130人的電子郵件，獲取了近8,00010個(gè)國(guó)家特定手機(jī)相匹配的密鑰，通過(guò)挖掘6個(gè)電子郵件，獲取了85,000個(gè)加密密鑰[1]。為了進(jìn)一步更大范圍、更大量的竊取金雅拓與移動(dòng)運(yùn)營(yíng)商之間傳輸?shù)募用苊荑€，美英情報(bào)人員還專門開發(fā)了一種自動(dòng)化攔截、采集密鑰的程序。文件顯示使用該程序“情報(bào)人員可以發(fā)現(xiàn)大量采用人工方式?jīng)]有發(fā)現(xiàn)的密鑰”[6]。不僅如此，2011年GCHQ還發(fā)起了一項(xiàng)名為“HIGHLANDFLING”的行動(dòng)，目標(biāo)包括“攻擊金雅拓位于法國(guó)的核心數(shù)SIM卡的金雅拓個(gè)性化中心”、以及“對(duì)德國(guó)SIM卡巨頭捷德公司（Giesecke&Devrient）采取類似的密鑰盜竊行動(dòng)”[7]。（三）延伸分析SIM卡加密密鑰是手機(jī)與移動(dòng)網(wǎng)絡(luò)進(jìn)行身份認(rèn)證和信道加解密的重要工具。竊取SIM卡加密密鑰可以為情報(bào)機(jī)構(gòu)針對(duì)手機(jī)的抵近偵察提供技術(shù)支撐。如果擁有了目標(biāo)手機(jī)的加密密鑰，攻擊者將更容易實(shí)現(xiàn)偽基站與目標(biāo)手機(jī)的認(rèn)證連接，特別是在安全性更高的3G、4G網(wǎng)絡(luò)中。擁有了加密密鑰將更容易破解通信加密，還原出明文通信內(nèi)容。正如美國(guó)約翰·霍普金斯大學(xué)（JohnsHopkinsUniversity）密碼破解專家馬修·格林（MatthewGreen）所說(shuō)“對(duì)于2G網(wǎng)絡(luò)來(lái)說(shuō)還有其他方法可以侵入網(wǎng)絡(luò)，但3G、4G網(wǎng)絡(luò)并不容易破解，所以密鑰就顯得尤為重要”[1]。此外、美英情報(bào)機(jī)構(gòu)竊取未啟用的SIM卡加密密鑰還可以建立手機(jī)SIM卡加密密鑰數(shù)據(jù)庫(kù)，為未來(lái)的信號(hào)情報(bào)（SIGINT）提供支撐。提到信號(hào)情報(bào)獲取，最為龐大的就是由美國(guó)主導(dǎo)的（CHEON）全球信號(hào)情報(bào)收集和分析系統(tǒng)。該系統(tǒng)由NSA、GCHQ、加拿大通信安全局（CSC、澳大利亞信號(hào)局（ASD）和新西蘭政府通訊安全局（GCSB）2070年代，起初用于冷戰(zhàn)期間監(jiān)控蘇聯(lián)及其陣營(yíng)之間的軍事和外交通信，冷戰(zhàn)結(jié)束后無(wú)區(qū)別地?cái)r截通信數(shù)據(jù)，從海量數(shù)據(jù)中識(shí)別和提取有價(jià)值的信息。系統(tǒng)在世界各地建立了多套攔截設(shè)施并在“五眼聯(lián)盟”國(guó)家設(shè)置了站點(diǎn)，執(zhí)行遠(yuǎn)程情報(bào)收集和處理任務(wù)?！疤蓐?duì)”系統(tǒng)的站點(diǎn)通過(guò)攔截衛(wèi)星通信、交換電話網(wǎng)絡(luò)和微波鏈路承載的通信數(shù)據(jù)，分析和處理全球范圍內(nèi)的電話呼叫、傳真、電子郵件和其他流量數(shù)據(jù)。在系統(tǒng)中每個(gè)站點(diǎn)都會(huì)自動(dòng)檢索截獲的數(shù)百萬(wàn)條消息并進(jìn)行關(guān)鍵字匹配。系統(tǒng)的檢索列表不僅包含站點(diǎn)所在國(guó)情報(bào)機(jī)構(gòu)設(shè)置的關(guān)鍵詞，還包含為五眼聯(lián)盟其他機(jī)構(gòu)設(shè)置的關(guān)鍵詞。每當(dāng)遇到包含某個(gè)情報(bào)機(jī)構(gòu)關(guān)鍵詞的數(shù)據(jù)時(shí)，它會(huì)自動(dòng)挑選出該消息并將其直接發(fā)送到相關(guān)情報(bào)機(jī)構(gòu)[8]。不論是對(duì)手機(jī)SIM卡加密密鑰的竊取，還是通過(guò)“梯隊(duì)”系統(tǒng)對(duì)全球信號(hào)情報(bào)數(shù)據(jù)的收集，都反映出以美國(guó)為首的西方情報(bào)機(jī)構(gòu)對(duì)全球信號(hào)情報(bào)數(shù)據(jù)持續(xù)的、大規(guī)模的瘋狂搜集。無(wú)論是終端設(shè)備還是骨干線路，無(wú)論是政府官員、技術(shù)專家等高價(jià)值目標(biāo)還是普通民眾，都有可能成為美情報(bào)機(jī)構(gòu)開展情報(bào)活動(dòng)的目標(biāo)。參考資料JeremyScahill，JoshBegley.TheIntercept.THESIM2015./2015/02/19/great-sim-heist/GrantGross.SpyagencieshackedSIMcardmaker'sencryption.2015.https:///article/2886738/spy-agencies-hacked-sim-card-makers-encryption.htmlGlennGreenwald.TheGuardian.XKeyscore:NSAtoolcollectsnearlyeverythingauserdoesontheinternet.2013.https:///world/2013/jul/31/nsa-top-secret-program-online-data“美國(guó)網(wǎng)絡(luò)空間攻擊與主動(dòng)防御能力解析”系列文章12篇.網(wǎng)信軍民融合.2017(12)-2018(11)./s/PnaYXZ9snK6fv_lgCFszDwDavidGilbert.InternationalBusinessTimesUK.USandUKspieshackSIMcardencryptiontomonitormobilephoneconversations.2015.https://www.ibtimes.co.uk/us-uk-spies-hack-sim-card-encryption-monitor-mobile-phone-conversations-1488759SnowdenArchive.PCSHarvestingatScale.2015.https://grid.glendon.yorku.ca/items/show/269SnowdenArchive.DAPINOGAMMACNEPresenceandIPTkeys:Ourworkshopsaims.2015.https://grid.glendon.yorku.ca/items/show/333NickyHager.EXPOSINGTHEGLOBALSYSTEM.2018./echelon.htm第三篇 悄無(wú)聲息的入侵——針對(duì)蘋果手機(jī)的“零點(diǎn)擊”攻擊iOS系統(tǒng)平臺(tái)是由蘋果公司開發(fā)的移動(dòng)操作系統(tǒng)，用于iPhone、iPadiPodtouch等蘋果移動(dòng)設(shè)備。iOS系統(tǒng)平臺(tái)內(nèi)置了一些蘋果獨(dú)有的功能，如iMessage就是蘋果公司開發(fā)的即時(shí)通信服務(wù)，具有發(fā)送和接收短信、圖像、視頻和文檔等多種功能，為蘋果用戶提供便捷的社交體驗(yàn)。而這類即時(shí)通信服務(wù)卻成為了美情報(bào)機(jī)構(gòu)利用的目標(biāo)，美情報(bào)機(jī)構(gòu)通過(guò)該類服務(wù)向蘋果手機(jī)用戶發(fā)送惡意代碼或攻擊載荷，以達(dá)到竊取手機(jī)數(shù)據(jù)的目的。20236月俄羅斯聯(lián)邦安全局（FSB）NSA實(shí)施了針對(duì)蘋果手機(jī)（Opeationianulation。圖31NS（Opaioniagulaio）案例清單（一）事件回顧202361日，網(wǎng)絡(luò)安全公司卡巴斯基表示，其數(shù)十名高級(jí)員工的蘋果手機(jī)遭受到入侵并發(fā)布名為《三角測(cè)量行動(dòng)：iOS設(shè)備被前所未知的惡意軟件攻擊》[1]的報(bào)告，2019iPad攻擊過(guò)程中無(wú)需手機(jī)用戶進(jìn)行任何交互操作，就可完成對(duì)目標(biāo)移動(dòng)設(shè)備的植入。由于攻擊過(guò)程中使用了繪制并驗(yàn)證三角形來(lái)識(shí)別目標(biāo)的技術(shù)，研究人員將這一系列攻擊活動(dòng)命名為“三角測(cè)量行動(dòng)”[2]6份相關(guān)報(bào)告[3-6]。同日，俄羅斯聯(lián)邦安全局（FSB）發(fā)布聲明指責(zé)美蘋果公司與NSA部蘋果手機(jī)，目標(biāo)主要為“駐俄羅斯和后蘇聯(lián)國(guó)家的外國(guó)外交人員，包括北約成員國(guó)、以色列、敘利亞和中國(guó)的外FSB稱“蘋果公司為美情報(bào)機(jī)構(gòu)對(duì)俄開展情報(bào)監(jiān)視活動(dòng)提供了機(jī)會(huì)與條件，監(jiān)視對(duì)象也包括美在反俄活動(dòng)中的合作伙伴以及美國(guó)自己的公民”[7]。（二）攻擊方式“三角測(cè)量行動(dòng)”利用iOS系統(tǒng)內(nèi)置的iMessage消息服務(wù)和iOS系統(tǒng)4個(gè)零日漏洞，實(shí)現(xiàn)對(duì)蘋果設(shè)備的“零點(diǎn)擊”攻擊。圖3-2“三角測(cè)量行動(dòng)”攻擊鏈?zhǔn)疽鈭D[6]攻擊者首先通過(guò)iMessage服務(wù)器向目標(biāo)iOS設(shè)備發(fā)送包含隱藏惡意附件的iMessage信息，設(shè)備在收到消息后，自動(dòng)觸發(fā)系統(tǒng)4個(gè)零日漏洞，自動(dòng)完成后續(xù)惡意程序的植入。攻擊者起初利用WebKit內(nèi)存損壞和字體解析漏洞獲取執(zhí)行權(quán)限，隨后利用整形溢出漏洞提升得到內(nèi)核權(quán)限，再利用多個(gè)內(nèi)存漏洞突破蘋果硬件級(jí)的安全防御功能，在設(shè)備上執(zhí)行并植入惡意程序。整個(gè)過(guò)程完全隱藏，不需要用戶執(zhí)行任何操作。惡意程序悄悄地將手機(jī)內(nèi)的個(gè)人信息自動(dòng)傳輸?shù)皆O(shè)置好的遠(yuǎn)程服務(wù)器上。包括麥克風(fēng)錄音、即時(shí)通信的照片、地理位置以及設(shè)備的其他數(shù)據(jù)?？ò退够槍?duì)主要的植入武器進(jìn)行分析并將其命名為TriangleDB。TriangleDB在獲取iOS系統(tǒng)內(nèi)核ROOT權(quán)限后僅部署在手機(jī)內(nèi)存中，手機(jī)重新啟動(dòng)后TriangleDB就會(huì)消失，攻擊者則須重新發(fā)送iMessage再次部署。如果在整個(gè)攻擊過(guò)程中手機(jī)始終沒(méi)有重啟，TriangleDB也將在30天后自行卸載消失，這一特性進(jìn)一步增加了其隱蔽性[4]。TriangleDB在被部署前還有一個(gè)被稱為“二進(jìn)制驗(yàn)證器”的組件，該組件負(fù)責(zé)刪除日志痕跡以及搜集命中設(shè)備的詳C2服務(wù)器供攻擊者判斷設(shè)備價(jià)值，決定是否執(zhí)行TriangleDB流程，若正常執(zhí)行，TriangleDBC2服務(wù)器加載調(diào)用多個(gè)子間諜模塊，包括麥克風(fēng)錄音模塊、KeyChain憑證獲取模塊、SQLite數(shù)據(jù)庫(kù)竊密模塊、GPS定位模塊、短信竊密模塊等，支持攻擊者開展平臺(tái)級(jí)別的竊密操作活動(dòng)，期間所有通信流量都經(jīng)過(guò)對(duì)稱（3DES）和非對(duì)稱（RSA）HTTPS協(xié)圖形渲染程序進(jìn)行畫布指紋識(shí)別來(lái)驗(yàn)證目標(biāo)。20231227日，卡巴斯基發(fā)布《三角測(cè)量行動(dòng)：最后一個(gè)（硬件）謎團(tuán)》報(bào)告稱，攻擊者將數(shù)據(jù)寫入特定的物理地址，同時(shí)通過(guò)將數(shù)據(jù)寫入固件中未使用芯片的未知硬件寄存器來(lái)繞過(guò)基于硬件的內(nèi)存保護(hù)，不知道攻擊者是如何了解到并能使用這個(gè)未知硬件功能（unknownhardwarefeature）[6]。報(bào)告推測(cè)蘋果公司可能與美情報(bào)機(jī)構(gòu)合作。（三）延伸分析多數(shù)手機(jī)惡意軟件在感染目標(biāo)過(guò)程中依賴于用戶的點(diǎn)擊觸發(fā)才能達(dá)成部署，對(duì)此用戶可以通過(guò)提高自身安全意識(shí)來(lái)防范，而“零點(diǎn)擊”攻擊不需要用戶對(duì)手機(jī)進(jìn)行任何操作，不需要用戶點(diǎn)擊某個(gè)鏈接或打開某個(gè)文件，只要手機(jī)用戶收到相關(guān)內(nèi)容，惡意程序就能自動(dòng)植入手機(jī)。大多數(shù)被攻擊對(duì)象并不知道他們的手機(jī)已被植入惡意程序，很知或未被修復(fù)的漏洞，因此系統(tǒng)開發(fā)人員無(wú)法及時(shí)發(fā)現(xiàn)并修復(fù)。正如美國(guó)飛塔網(wǎng)絡(luò)安全公司（Fortinet）研究員阿米爾·拉卡尼（Aairakhani）意識(shí)的用戶也無(wú)法避免零日漏洞攻擊和‘零點(diǎn)擊’攻擊雙重打擊”[8]。隨著手機(jī)系統(tǒng)的日趨完善，能被發(fā)現(xiàn)和利用的“零點(diǎn)如以購(gòu)買和銷售漏洞為主要業(yè)務(wù)的美國(guó)Zerodium公司，就250萬(wàn)美元[8]。這些都決定了像“三角測(cè)量行動(dòng)”這樣的攻擊行為不可能大范圍進(jìn)行，攻擊必然是針對(duì)高價(jià)值目標(biāo)和小范圍特定人群開展的。在“三角測(cè)量行動(dòng)”攻擊過(guò)程中，攻擊者植入TriangleDB前進(jìn)行了大量目標(biāo)與設(shè)備信息的驗(yàn)證并刪除部分攻擊痕跡，TriangleDB僅存在于手機(jī)內(nèi)存當(dāng)中且具備自刪除能力。這些都再次證明“三角測(cè)量行動(dòng)”具有攻擊手法高隱蔽性、攻擊流程高復(fù)雜性、攻擊目標(biāo)高定向性的特點(diǎn)。根據(jù)這些特點(diǎn)有理由推斷該行動(dòng)是由具有國(guó)家背景的組織機(jī)構(gòu)精心策劃與實(shí)施的。2024116日卡巴斯基發(fā)布報(bào)告稱[9]iOSiOS中發(fā)現(xiàn)惡意軟件非常復(fù)雜且成本高昂，iOS系統(tǒng)安全威脅往往不易被公眾發(fā)現(xiàn)，其開發(fā)的輕量級(jí)檢測(cè)工具，可檢測(cè)出“飛馬”間諜軟件及其他iOS惡意軟件。iOS在各種手機(jī)系統(tǒng)中被認(rèn)為體系結(jié)構(gòu)設(shè)計(jì)相對(duì)更為合理，安全機(jī)制相對(duì)完備，但恰恰是美國(guó)情報(bào)機(jī)構(gòu)自己的活動(dòng)，嚴(yán)重影響全球用戶對(duì)蘋果手機(jī)的安全信任。正如223年6月1日俄外交部所說(shuō)[10]“數(shù)十年來(lái)，美國(guó)情報(bào)機(jī)構(gòu)一直在利用科技公司在互聯(lián)網(wǎng)用戶不知情的情況下大量收集用戶數(shù)據(jù)”，“美國(guó)是一個(gè)將自己凌駕于法律之上的國(guó)家，任何國(guó)家都無(wú)權(quán)在訪問(wèn)智能手機(jī)用戶個(gè)人數(shù)據(jù)等敏感領(lǐng)域?yàn)E用其技術(shù)能力?！眳⒖假Y料IgorKuznetsov.etal.OperationTriangulation:iOSdevicestargetedwithpreviouslyunknownmalware.2023/operation-triangulation/109842/.GEORGYKUCHERIN.etal.TheoutstandingstealthofOperationTriangulation.2023./triangulation-validators-modules/110847/IgorKuznetsov.etal.InsearchoftheTriangulation:triangle_checkutility.2023./find-the-triangulation-utility/109867/GeorgyKucherin.etal.DissectingTriangleDB.aTriangulationspywareimplant.2023./triangledb-triangulation-implant/110050/LeonidBezvershenko.etal.Howtocatchawildtriangle.2023.BorisLarin.etal.OperationTriangulation:Thelast(hardware)mystery.2023.FSB. ФСБ РОССИИ ВСКРЫТА АМЕРИКАНСКИХСПЕЦСЛУЖБСМОБИЛЬНЫХУСТРОЙСТВФИРМЫAPPLE.2023.age.htmlAndradaFiscutean.CSO.Zero-clickattacksexplained,andwhytheyaresodangerous.2022.https:///article/572727/zero-click-attacks-explained-and-why-they-are-so-dangerous.htmlMaherAlightweightmethodtodetectpotentialiOSmalware.2024./shutdown-log-lightweight-ios-malware-detection-method/111734/TheMinistryofForeignAffairsoftheRussianFederation.PressreleaseonnewfactsofglobalsurveillancebytheUnitedStates.2023.https://www.mid.ru/cn/foreign_policy/news/1873533/第四篇 “飛馬”風(fēng)波——對(duì)商用間諜軟件的利用（Pegasus）間諜軟件是以色列網(wǎng)絡(luò)武器供應(yīng)商N(yùn)SO集團(tuán)旗下的一款知名產(chǎn)品，該軟件可以通過(guò)“零點(diǎn)擊”方式感染目標(biāo)手機(jī)，秘密地安裝在運(yùn)行iOS和安卓系統(tǒng)的手機(jī)（或其他移動(dòng)智能終端）上，對(duì)目標(biāo)手機(jī)進(jìn)行長(zhǎng)期監(jiān)照片、短信、通話記錄等。除此之外，還能獲取手機(jī)所處的地理位置，甚至能控制手機(jī)的攝像頭與麥克風(fēng)。從2018CIA、FBI等情報(bào)機(jī)構(gòu)紛紛采取各種方式和手段利用“飛馬”等間諜軟件對(duì)相關(guān)手機(jī)用戶進(jìn)行監(jiān)控。圖41IA、BI（egasus）間諜軟件案例清單（一）“飛馬”間諜軟件事件回顧2021年7月18日，《華盛頓郵報(bào)》、《衛(wèi)報(bào)》等全球十17家國(guó)際知名媒體機(jī)構(gòu)[1]，在對(duì)以色列間諜軟件“飛馬”調(diào)查數(shù)月之后共同發(fā)表了一項(xiàng)調(diào)查報(bào)告，揭露了多個(gè)國(guó)家元首和政界要員受到了這款間諜軟件的監(jiān)聽，包括法國(guó)總統(tǒng)馬克龍、伊拉克總統(tǒng)薩利赫、南非總統(tǒng)拉馬福薩、巴基斯坦總理伊姆蘭·汗、埃及總理馬德布利等，此外還有各國(guó)的眾多王室成員、政府官員、企業(yè)高管、媒際社會(huì)引起軒然大波，這起事件讓人們對(duì)商用間諜軟件的超高攻擊能力有了更深層的了解和認(rèn)識(shí)。（二）美情報(bào)機(jī)構(gòu)對(duì)“飛馬”等間諜軟件的利用“飛馬”軟件強(qiáng)大的攻擊滲透和監(jiān)控能力，吸引了全球的關(guān)注目光，也成為了有關(guān)國(guó)家政府和情報(bào)機(jī)構(gòu)趨之若鶩的對(duì)象。美國(guó)對(duì)“飛馬”軟件青睞有加，美國(guó)緝毒署、特勤局和美軍非洲司令部都與NSO集團(tuán)進(jìn)行過(guò)接觸[2]CIAFBINSO集團(tuán)開展了深度合作。1、CIA與“飛馬”軟件的技術(shù)淵源據(jù)《紐約時(shí)報(bào)》20221月報(bào)道[3]2018年美國(guó)CIA就以反恐的名義購(gòu)買了“飛馬”軟件，CIA稱其購(gòu)買這款間諜軟件的目的是為了支持吉布提政府的反恐行動(dòng)。福布斯網(wǎng)站207年3月份發(fā)表的一份調(diào)查報(bào)告顯示[4]名安全研究人員稱，CIAiPhone時(shí)使用的持久化技術(shù)與以色列網(wǎng)絡(luò)武器供應(yīng)商N(yùn)SO使用相同的漏洞，但實(shí)施方式略有不同”。由此可見，CIANSO的技術(shù)淵源很深，他們之間或許存在著更深層次的合作關(guān)系。2、FBI與NSO集團(tuán)的深度合作CIA外，F(xiàn)BINSO集團(tuán)的客戶。《紐約時(shí)報(bào)》202年1FBI在208年購(gòu)買了‘飛馬’軟件，并在接下來(lái)的兩年里在新澤西州的一個(gè)秘密設(shè)施測(cè)試了這款間諜軟件”[3]。20196月，3NSO集團(tuán)的工程師來(lái)到了位于美國(guó)新澤西州的FBI大樓，就“飛馬”軟件的功能和性能進(jìn)行演示和測(cè)試。NSO工程師關(guān)于“飛馬”間諜軟件的功能演示引起了FBI的濃厚興趣，但由于以色列政府的限制，普通版的“飛馬”軟件無(wú)法監(jiān)視美國(guó)人的手機(jī)號(hào)碼。為了解決這個(gè)問(wèn)題，NSO此后向FBI（Phantom）的新系統(tǒng)，該系統(tǒng)可以破解FBI瞄準(zhǔn)的任何號(hào)碼。以色列政府NSO頒發(fā)了特殊許可證，允許美國(guó)政府機(jī)構(gòu)客戶使用該系統(tǒng)攻擊美國(guó)號(hào)碼。NSO系統(tǒng)允許美國(guó)執(zhí)法和情報(bào)機(jī)構(gòu)通過(guò)從移動(dòng)設(shè)備提取和監(jiān)控關(guān)鍵數(shù)據(jù)來(lái)獲取情報(bào)。它是一個(gè)獨(dú)立的解決方案，不需要、、蘋果或谷歌的合作。該系統(tǒng)將使目標(biāo)的智能手機(jī)變成情報(bào)金礦”[2]。3、美政府通過(guò)影子公司購(gòu)買NSO集團(tuán)產(chǎn)品據(jù)《紐約時(shí)報(bào)》20234月報(bào)道[5]，一家美國(guó)政府影子20218NSO集團(tuán)的美國(guó)分支機(jī)構(gòu)簽訂了一份秘密合同。根據(jù)協(xié)議安排，NSO集團(tuán)向美國(guó)政（andark，該軟件可以在用戶不知情或不同意的情況下秘密跟蹤手機(jī)位置。這筆交易的隱蔽性不同尋常，是由一位商人用假名代表影子公司簽署的。而簽署時(shí)恰值美商務(wù)部宣布制裁NSO集團(tuán)幾天后，這也充分顯示了美國(guó)政府在網(wǎng)絡(luò)武器擴(kuò)散和公民隱私監(jiān)控方面的兩面性和虛偽面目。4、美情報(bào)機(jī)構(gòu)授意國(guó)防承包商收購(gòu)NSO集團(tuán)2022L3Harris在美情報(bào)機(jī)構(gòu)的授意下準(zhǔn)備收購(gòu)NSO集團(tuán)[5]，意圖全面控制NSO。HarrisNSONSO的黑客工具并接管其大部分員工。根據(jù)內(nèi)部記錄，盡管NSO被列L3Harris高管與商務(wù)部官員就潛在交易進(jìn)行了討論，并已經(jīng)制定了一份交易協(xié)議草案。盡管最終未能成功收購(gòu)，該事件充分顯示出美情報(bào)機(jī)構(gòu)擬控制商業(yè)間諜軟件實(shí)施情報(bào)活動(dòng)的企圖。5、持續(xù)利用其他以色列間諜軟件美國(guó)政府機(jī)構(gòu)持續(xù)使用與“飛馬”功能類似的間諜軟件。媒體透露美國(guó)緝毒署（DEA）是以色列Paragon公司Graphite軟件最大的客戶之一。Paragon公司吸取了NSO公司的教訓(xùn)，與美國(guó)政府建立密切的溝通渠道，包括：其客戶清單尋求獲得美國(guó)的許可；向兩家美國(guó)風(fēng)險(xiǎn)投資公司BatteryVentures和RedDot尋求資金，以獲得美國(guó)的支持；聘請(qǐng)了一家美國(guó)政治咨詢公司，就為贏得政府訂單提供建議。通過(guò)這些措施，Paragon公司實(shí)際上獲得了美國(guó)政府的默許，美國(guó)政府間接獲得了對(duì)Paragon公司很強(qiáng)的控制力[6]。值得注意的是，DEA雖然是打擊非法毒品交易的執(zhí)法機(jī)構(gòu)，但其與美情報(bào)機(jī)構(gòu)卻有著千絲萬(wàn)縷的關(guān)系。DEA經(jīng)常利用其打擊毒品交易的便利身份，為情報(bào)機(jī)構(gòu)在境外開展活動(dòng)提供幫助和掩護(hù)[7]件，但是仍在利用類似的間諜軟件實(shí)施情報(bào)活動(dòng)。（三）延伸分析NSO集團(tuán)限制其他國(guó)家利用其軟件，但背地里卻通過(guò)影子公司購(gòu)買其間諜軟件，并授意國(guó)防承NSO集團(tuán)。FBINSO合作，開發(fā)了可攻擊美國(guó)境內(nèi)手機(jī)的“幻影”系統(tǒng)；FBI還通過(guò)承包Riva網(wǎng)絡(luò)公司利用“地標(biāo)”間諜軟件在墨西哥實(shí)施長(zhǎng)時(shí)間的手機(jī)監(jiān)控活動(dòng)[8]。美以之間的情報(bào)協(xié)同，歷史上不僅有以方企業(yè)提供商業(yè)間諜工具給美方使用，也有以美為主研發(fā)攻擊武器，雙方聯(lián)合運(yùn)用，其中著名事件包括“震網(wǎng)”和入侵卡巴斯基的“毒曲2美情報(bào)機(jī)構(gòu)通過(guò)利用和控制商業(yè)間諜軟件，進(jìn)一步強(qiáng)化了在移動(dòng)網(wǎng)絡(luò)領(lǐng)域的監(jiān)控和情報(bào)獲取能力。202245日，美國(guó)《華盛頓郵報(bào)》報(bào)道稱[9]，F(xiàn)BIBabelStreet2700萬(wàn)美元的創(chuàng)紀(jì)錄軟件服務(wù)合同，強(qiáng)化對(duì)社交媒體內(nèi)容的搜索與追蹤能力。FBI招標(biāo)條件明確要求軟件“至少具備七種外語(yǔ)”的搜索及翻譯能力，能實(shí)現(xiàn)對(duì)某一設(shè)定地理區(qū)域的搜索，可以對(duì)發(fā)帖人進(jìn)行關(guān)聯(lián)分析和情緒分析等，還要有表情分析、預(yù)測(cè)分析、機(jī)器探測(cè)等附加功能。透過(guò)這些令人不寒而栗的需求可以看到，美情報(bào)機(jī)構(gòu)通過(guò)對(duì)商用軟件的利用將其已武裝到牙齒的網(wǎng)絡(luò)情報(bào)搜集能力發(fā)揮到極致。參考資料fromthePegasusProject.2021.pegasus-project/RonenBergman,MarkMazzetti.TheBattlefortheMostPowerfulCyberweapon.2022.https:///2022/01/28/magazine/nso-group-israel-spyware.htmlMarkMazzetti,RonenBergman.IsraelItPegasusHackingforInvestigations.2022.https:///2022/05/12/us/politics/fbi-pegasus-spyware-israel.htmlThomasBrewster.WikileaksCIAMega-LeakImplicatesUSAndUKSpiesInDeepiPhoneHacks.2017.https:///sites/thomasbrewster/2017/03/07/iphone-wikileaks-cia-exploits-not-catastrophic/?sh=16846116650aMarkMazzetti,RonenBergman.AFrontCompanyandaFakeIdentity:HowtheU.S.CametoUseSpywareItWasTryingtoKill.2023.https:///2023/04/02/us/politics/nso-contract-us-spy.htmlBenLovejoy.USgovtbannedPegasus,butsaidtobuyrivalspywareParagonGraphite.2023.https://9/2023/05/30/paragon-graphite/BenBuchanan.TheHackerandTheState.2020.https://gerdab.ir/files/fa/news/1400/6/23/49615_176.pdfMarkMazzetti.WhoPaidforaMysteriousSpyTheanInquiryFound.2023.https:///2023/07/31/us/politics/nso-spy-tool-landmark-fbi.htmlAaronSchaffer.TheFBIisSpendingMillionsonSocialMediaTrackingSoftware.2022.https:///politics/2022/04/05/fbi-is-spending-millions-social-media-tracking-software/第五篇 無(wú)法卸載的APP——通過(guò)運(yùn)營(yíng)商廣泛預(yù)置軟件收集數(shù)據(jù)安卓系統(tǒng)是全球最主要的手機(jī)操作系統(tǒng)之一。為追求更好的性能、用戶界面和功能等目的，手機(jī)廠商多選擇對(duì)原生的安卓系統(tǒng)進(jìn)行深度定制。部分廠商會(huì)在只讀存儲(chǔ)器（ROM）中預(yù)裝某些特定的應(yīng)用程序，這些應(yīng)用程序有可能成為美情報(bào)機(jī)構(gòu)獲取用戶數(shù)據(jù)的工具。2011年曝出美運(yùn)、、SprintUS在手機(jī)中廣泛CarrierIQ軟件，該軟件違規(guī)收集包括短信、鍵盤操作CarrierIQ后臺(tái)產(chǎn)品可進(jìn)行數(shù)據(jù)查詢，F(xiàn)BI、NSA則通過(guò)與運(yùn)營(yíng)商的情報(bào)合作獲取遠(yuǎn)超法律授權(quán)范圍的用戶數(shù)據(jù)。圖5-1FBI、NSA通過(guò)CarrierIQ軟件收集用戶數(shù)據(jù)案例清單（一）事件回顧C(jī)arrierIQ2005年，是一家美國(guó)的私營(yíng)移動(dòng)軟件公司，其產(chǎn)品由移動(dòng)設(shè)備上的嵌入式軟件（IQAgent）務(wù)器端分析應(yīng)用程序組成，目的是使移動(dòng)運(yùn)營(yíng)商能夠詳細(xì)了解移動(dòng)服務(wù)和設(shè)備的各種性能和使用特征。IQAgent2006USB調(diào)制解調(diào)器和平板電腦等其他設(shè)備上。[1]12日，美國(guó)白帽黑客特雷弗·?？斯兀═revor Eckhart）（）上發(fā)文稱[2]，CarrierIQ軟件搜集與網(wǎng)絡(luò)相關(guān)的信息，包括語(yǔ)音和數(shù)據(jù)服務(wù)；還搜集與網(wǎng)絡(luò)無(wú)關(guān)的信息，包括設(shè)備類型、可用內(nèi)存和電池電量、設(shè)備中軟件的類型、設(shè)備的地理位置信息、設(shè)備用戶的按鍵信息、設(shè)備的使用歷史等，并回傳服務(wù)器進(jìn)行統(tǒng)計(jì)分析。CarrierIQ提供的后臺(tái)產(chǎn)品允許運(yùn)營(yíng)商等用戶可以根據(jù)國(guó)際IMEI或國(guó)際移動(dòng)用戶識(shí)別碼IMSI對(duì)任何一個(gè)設(shè)備進(jìn)行詳細(xì)的歷史記錄查詢，即用戶的隱私被完全暴露給該公司及使用其服務(wù)的移動(dòng)運(yùn)營(yíng)商。通常情況下，CarrierIQROM。因此，要想徹底刪除該軟ROOT手機(jī)后重新燒寫（Flash）ROM。普通用戶一般難以操作。2011年11月28日，?？斯卦赮ouTube發(fā)布視頻，CarrierIQ軟件以明文形式記錄各種擊鍵的行為[3]括對(duì)安全網(wǎng)站密碼的明文捕獲，以及在禁用蜂窩網(wǎng)絡(luò)時(shí)執(zhí)行的活動(dòng)。月，安天發(fā)布《對(duì)CarrierIQ木馬的綜合分析報(bào)告》[4]CarrierIQ不僅主動(dòng)捕獲和讀取用戶手機(jī)的短信內(nèi)容、監(jiān)控用戶的鍵盤操作和按鍵內(nèi)容，甚至對(duì)獲取的數(shù)據(jù)進(jìn)行記錄及傳輸。（二）事件分析美國(guó)四大電信運(yùn)營(yíng)商、Verizon、SprintMobileUSCarrierIQ的用戶，在其多款手機(jī)中預(yù)裝了這一軟件，涉及安卓、塞班、黑莓、iOS等多個(gè)平臺(tái)。相關(guān)1.41億[5]。黑莓、HTCCarrierIQ軟件，手機(jī)廠商均表示是美國(guó)運(yùn)營(yíng)商強(qiáng)制要求在其設(shè)備上安裝的。12月，F(xiàn)BI（FOI）CarrierIQ相關(guān)文件，被迫承認(rèn)“為執(zhí)法目的而編CarrierIQ收集的數(shù)據(jù)[6]。20136月，彭博社發(fā)表文章《NSA可以收集的遠(yuǎn)遠(yuǎn)超過(guò)你的電話記錄》[7]指出，CarrierIQ收集數(shù)據(jù)的情況曝光后，許多美國(guó)運(yùn)營(yíng)商和設(shè)備制造商從他們的手機(jī)中刪除CarrierIQ軟件，但事實(shí)是運(yùn)營(yíng)商仍然在客戶的手機(jī)上安NSA來(lái)說(shuō)，從運(yùn)營(yíng)商網(wǎng)絡(luò)中收集和匯總這些數(shù)據(jù)并不困難，就像它從谷歌獲取大量數(shù)據(jù)一樣。（三）延伸分析CarrierIQ搜集數(shù)據(jù)情況曝光后，2011年3月開始在其設(shè)備上安裝了該軟件[8]。201512CarrierIQ，且未披露交易的相關(guān)細(xì)節(jié)。美各大運(yùn)營(yíng)商與情報(bào)機(jī)構(gòu)合作由來(lái)已久。根據(jù)斯諾登曝光的信息，T公司與NSA開展了長(zhǎng)達(dá)幾十年的合作[9]劃（PRISM）顯示美情報(bào)機(jī)構(gòu)對(duì)運(yùn)營(yíng)商和大型互聯(lián)網(wǎng)廠商的數(shù)據(jù)進(jìn)行深度挖掘和獲取。201365日，英國(guó)“衛(wèi)報(bào)”網(wǎng)站報(bào)道稱，NSA公司提供數(shù)百萬(wàn)私人電話記錄[10]。CarrierIQ軟件獲取了遠(yuǎn)超其流量等美國(guó)電信運(yùn)營(yíng)商與美情報(bào)機(jī)構(gòu)的深度合作關(guān)系，全球移動(dòng)用戶有理由懷疑，美情報(bào)機(jī)構(gòu)通過(guò)美國(guó)境內(nèi)的電信運(yùn)營(yíng)商，采取在用戶手機(jī)中廣泛預(yù)置CarrierIQ等網(wǎng)絡(luò)診斷軟件的方式，以極低的成本實(shí)現(xiàn)了對(duì)美國(guó)境內(nèi)移動(dòng)用戶數(shù)據(jù)的采集，事實(shí)上已將移動(dòng)運(yùn)營(yíng)商變?yōu)槠淝閳?bào)資源。盡管美國(guó)國(guó)會(huì)2015年6月通過(guò)的《美國(guó)自由法案》（USAFREEDOMACT）要求美情報(bào)機(jī)構(gòu)在6個(gè)月之內(nèi)停止原有的對(duì)電話數(shù)據(jù)進(jìn)行大規(guī)模收集，之后需要向外國(guó)情報(bào)監(jiān)視法院（FISC）提出申請(qǐng)獲得批準(zhǔn)后，才可從電信公司調(diào)取特定對(duì)象的電話數(shù)據(jù)，但是美情報(bào)機(jī)構(gòu)根本沒(méi)有遵守該規(guī)定。美國(guó)《連線》雜志（WIRED）202320日刊文《秘密的白宮監(jiān)視計(jì)劃使警察能夠訪問(wèn)數(shù)萬(wàn)億條美國(guó)電話記錄》指出[11]，十多年來(lái)監(jiān)控計(jì)劃“數(shù)據(jù)分析服務(wù)”（DAS）允許美聯(lián)邦、州和地方執(zhí)法機(jī)構(gòu)挖掘、分析美國(guó)用戶的通話細(xì)節(jié)。DAS計(jì)劃的前身為“半球”計(jì)劃（Heisphee，允許美執(zhí)法機(jī)構(gòu)（包括警察、治安部門、美國(guó)海關(guān)、郵政檢查員等）捕獲和分析任何使用基礎(chǔ)設(shè)施的全部通話記錄。DAS計(jì)劃的曝光充分證明了美情報(bào)機(jī)構(gòu)的廣泛監(jiān)聽活動(dòng)無(wú)孔不入，即便是美國(guó)用戶自身權(quán)益也無(wú)法得到保障。參考資料Wikipedia.CarrierIQ.2024TrevorEckhart.WhatisCarrierIQ?.2011.TrevorEckhart.CarrierIQPart#2.2011.AntiyLabs.AComprehensiveAnalysisonCarrierIQ.2011.https:///media/reports/carrieriq_analysis.pdfDanGoodin.CarrierIQVP:Apponmillionsofphonesnotaprivacyrisk.2011.https:///2011/12/02/carrier_iq_interview/AndyGreenberg.FBISaysCarrierIQMayBeUsedIn'LawEnforcementProceedings'.https:///sites/andygreenberg/2011/12/12/fbi-says-carrieriq-may-be-used-in-law-enforcement-proceedings/KevinFitchard.TheNSACouldCollectFarMoreThanPhoneRecords.2013.https:///news/articles/2013-06-12/the-nsa-could-collect-far-more-than-your-phone-recordsBradMolen.SenatorAlFrankenasksaboutCarrierIQ,thecompaniesanswer:thecompletebreakdown.2011.https:///2011-12-17-senator-al-franken-asks-about-carrier-iq-the-companies-answer.htmlNSASpyingRelieson‘ExtremeWillingnesstoHelp’.2015.to-helpGlennGreenwald.NSAcollectingphonerecordsofmillionsofcustomers2013https:///world/2013/jun/06/nsa-phone-records-verizon-court-orderDellCameron&DhruvMehrotra.SecretiveWhiteHouseSurveillanceProgramGivesCopsAccesstoTrillionsofUSPhoneRecords.2023.https:///story/hemisphere-das-white-house-surveillance-trillions-us-call-records/第六篇 窺探底數(shù)——獲取全球移動(dòng)運(yùn)營(yíng)商技術(shù)參數(shù)2070年代美國(guó)貝爾實(shí)驗(yàn)室提出“蜂窩網(wǎng)絡(luò)”概念以來(lái)，移動(dòng)通信技術(shù)快速迭代更新。全球移動(dòng)運(yùn)營(yíng)商的業(yè)務(wù)環(huán)境、運(yùn)營(yíng)模式等各不相同，因此其采用的網(wǎng)絡(luò)制式、基礎(chǔ)設(shè)施類型、加密方式、協(xié)議等技術(shù)參數(shù)也不盡相同。為獲取全球移動(dòng)運(yùn)營(yíng)商技術(shù)參數(shù)，以便挖掘漏洞針對(duì)性實(shí)施攻擊，NSA2010年開始實(shí)施“金色極光”行動(dòng)（AuoaGold，采取信號(hào)情報(bào)手段獲取非公開數(shù)據(jù)——各IR.21，形成全球移動(dòng)運(yùn)營(yíng)商技NSA信號(hào)情報(bào)生產(chǎn)鏈，對(duì)手機(jī)用戶進(jìn)行竊密及監(jiān)聽監(jiān)控。圖6-1NSA“金色極光”行動(dòng)（AuroraGold）案例清單（一）事件回顧214年12月4相關(guān)文件顯示，NSA2010年就開始“金色極光”行動(dòng)[1]20125月，NSA通過(guò)“金色極光”行動(dòng)獲取了985GSM/UMTS701個(gè)（70%）新西蘭、德國(guó)和法國(guó)等與美國(guó)關(guān)系密切的盟國(guó)。（二）攻擊方式NSA至少?gòu)?010年提出“信號(hào)情報(bào)規(guī)劃循環(huán)”（SIGINTPlanningCycle）工程，旨在體系化地開展信號(hào)情6個(gè)環(huán)節(jié)組成，分別是：發(fā)現(xiàn)、區(qū)域&目標(biāo)、技術(shù)趨勢(shì)、漏洞、能力、交付。其中“金色極光”行動(dòng)（choloyend）環(huán)節(jié)中的一部分。圖6-2NSA“信號(hào)情報(bào)規(guī)劃循環(huán)”示意圖在其后的“漏洞”環(huán)節(jié)，NSA明確提出要利用“金色極光”行動(dòng)提供的技術(shù)趨勢(shì)數(shù)據(jù)，來(lái)識(shí)別其可以利用的漏洞，并引入尚不存在的漏洞，以在“能力”環(huán)節(jié)中利用這些漏洞。德國(guó)安全研究員和密碼學(xué)家卡爾斯滕·諾爾（KarstenNohl、芬蘭網(wǎng)絡(luò)安全公司FSecue的高級(jí)研究員米克·海波寧（MikkoHypponen）NSA為達(dá)到間諜活動(dòng)目的故意策劃在全球通信系統(tǒng)中引入新漏洞的“金色極光”行動(dòng)表示震驚。安全專家們指出[1]NSANSA可以利用它。這種有爭(zhēng)議的策略可能會(huì)將普通民眾暴露給黑客等犯罪分子。NSA文件顯示，2011年3月，在西方干預(yù)利比亞內(nèi)亂兩周前，美軍非洲司令部利用“金色極光”行動(dòng)的數(shù)據(jù)情報(bào)庫(kù)獲取了利比亞全部移動(dòng)運(yùn)營(yíng)商的短信網(wǎng)關(guān)域信息，并利用該信息入侵了利比亞的移動(dòng)網(wǎng)絡(luò)進(jìn)行短信監(jiān)控。“金色極光”行動(dòng)融合公開數(shù)據(jù)和非公開數(shù)據(jù)，經(jīng)過(guò)數(shù)據(jù)解析和提取后構(gòu)建了一個(gè)包含全球移動(dòng)運(yùn)營(yíng)商技術(shù)參數(shù)及移動(dòng)技術(shù)發(fā)展趨勢(shì)的數(shù)據(jù)情報(bào)庫(kù)，并以可視化方式輸出。其中公開數(shù)據(jù)包括世界蜂窩信息服務(wù)（WCIS）可查詢數(shù)據(jù)庫(kù)的完整副本、國(guó)際電信聯(lián)盟（ITU）運(yùn)營(yíng)公告及其他數(shù)據(jù)，非公開數(shù)據(jù)主要是“R21圖6-3“金色極光”數(shù)據(jù)流與流程概述IR.21是國(guó)際漫游文件，是GSM國(guó)際漫游運(yùn)營(yíng)商間制作對(duì)方局?jǐn)?shù)據(jù)的重要規(guī)范文件，以實(shí)現(xiàn)其客戶在境外使用國(guó)際漫游服務(wù)。IR.21文件標(biāo)準(zhǔn)格式由全球移動(dòng)通信系統(tǒng)協(xié)會(huì)（GSMA）制定，GSMA1995年，是全球移動(dòng)通220800230多家更為廣泛的移動(dòng)生態(tài)系統(tǒng)中的企業(yè)。NSAIR.21包含了其“瞄準(zhǔn)和利用所必需的信R21獲取GS/UTS手機(jī)網(wǎng)絡(luò)運(yùn)營(yíng)商的基礎(chǔ)設(shè)施、語(yǔ)音數(shù)據(jù)融合、UMTSUMTS技術(shù)部署等技術(shù)細(xì)節(jié)，以支撐后續(xù)的情報(bào)工作。表6-1NSA評(píng)估IR.21文件的信號(hào)情報(bào)價(jià)值IR.21字段釋義利用價(jià)值移動(dòng)國(guó)家號(hào)（MCC）移動(dòng)網(wǎng)號(hào)（MNC）唯一標(biāo)識(shí)移動(dòng)網(wǎng)絡(luò)的十進(jìn)制數(shù)字IMSIMCC后兩位是用于標(biāo)識(shí)該國(guó)家內(nèi)網(wǎng)絡(luò)的MNC提供網(wǎng)絡(luò)的唯一標(biāo)識(shí)，以識(shí)別網(wǎng)絡(luò)邊界、接口、協(xié)議、軟件、硬件等移動(dòng)用戶國(guó)際號(hào)碼（MSISDN）在GSM或UMTS移動(dòng)網(wǎng)絡(luò)中移動(dòng)用戶的唯一標(biāo)識(shí)號(hào)碼（移動(dòng)/蜂窩電話中SIM卡的電話號(hào)碼）允許識(shí)別所撥的真實(shí)電話號(hào)碼TADIG代碼GSMA分配的一個(gè)號(hào)碼，用作文件內(nèi)容和文件名中的主要標(biāo)識(shí)符。也用作移動(dòng)行業(yè)中更通用的實(shí)體標(biāo)識(shí)符識(shí)別用于計(jì)費(fèi)目的的網(wǎng)絡(luò)，并幫助確定目標(biāo)信令連接控制部分（SCCP）一種網(wǎng)絡(luò)層協(xié)議，用于在7號(hào)信令系統(tǒng)（SS7）電信網(wǎng)絡(luò)中提供擴(kuò)展的路由、流控制、分段、連接定向和糾錯(cuò)功能在公共陸地移動(dòng)網(wǎng)（PLMN）中提供路由信息，并提供對(duì)應(yīng)用程序的訪問(wèn)，如800呼叫處理和電話卡處理，以識(shí)別目標(biāo)和其他信息用戶身份驗(yàn)證顯示在GSM服務(wù)開始時(shí)是否對(duì)漫游用戶執(zhí)行身份認(rèn)證以及A5加密算法的類型還能展示新密碼算法的出現(xiàn)，并支持目標(biāo)分析、趨勢(shì)和漏洞開發(fā)移動(dòng)應(yīng)用部分（MAP）一種SS7協(xié)議，它為GSM和UMTS移動(dòng)核心網(wǎng)以及GPRS心網(wǎng)中的各種節(jié)點(diǎn)提供了相互通信的應(yīng)用層，以便向移動(dòng)電話用戶提供服務(wù)。MAP是用于訪問(wèn)歸屬位置寄存器、訪問(wèn)者位置寄存器、移動(dòng)交換中心、設(shè)備標(biāo)識(shí)寄發(fā)布漫游協(xié)議信息時(shí)，可以更清楚地了解網(wǎng)絡(luò)功能。提供關(guān)于用戶、移動(dòng)管理和應(yīng)用程序的當(dāng)前信息，這些信息可用于定位和目標(biāo)開發(fā)存器、認(rèn)證中心、短消息服務(wù)中心和服務(wù)GPRS支持節(jié)點(diǎn)（SGSN）的應(yīng)用層協(xié)議網(wǎng)元信息特定網(wǎng)絡(luò)組件、制造商、軟件和硬件版本等這些特定信息對(duì)于定位和利用是必要的。包括核心和無(wú)線電接口信息網(wǎng)絡(luò)封包數(shù)據(jù)服務(wù)用于識(shí)別受影響的GPRS網(wǎng)絡(luò)。此信息中還包括一個(gè)接入點(diǎn)名稱（APN）APNGPRS網(wǎng)絡(luò)提供給移動(dòng)用戶的服APNIR.21中涉及的網(wǎng)絡(luò)和運(yùn)營(yíng)商的封包網(wǎng)絡(luò)，并可用于定位WAP網(wǎng)關(guān)IP地址的信息，有助于目標(biāo)開發(fā)。還提供了對(duì)網(wǎng)絡(luò)中使用的GPRS隧道協(xié)議版本的深入了解。涵GPRS、EDGE（增強(qiáng)型數(shù)據(jù)GSM演進(jìn)技術(shù)）（高速分組接入）為獲取各運(yùn)營(yíng)商的R21信號(hào)情報(bào)手段監(jiān)控并攔截了運(yùn)營(yíng)商漫游協(xié)調(diào)員與GSMA工1,200多個(gè)電子郵箱信息。除獲取IR.21文件外，“金色極光”行動(dòng)持續(xù)監(jiān)視GSMA、ITU等行業(yè)組織，以盡早獲取新的技術(shù)標(biāo)準(zhǔn)、全球移動(dòng)通信新技術(shù)及其發(fā)展趨勢(shì)等信息，支撐NSA“信號(hào)情報(bào)規(guī)劃循環(huán)”其他環(huán)節(jié)。（三）延伸分析“金色極光”行動(dòng)中，NSA將攻擊目標(biāo)鎖定全球移動(dòng)運(yùn)營(yíng)商，通過(guò)獲取技術(shù)趨勢(shì)等數(shù)據(jù)情報(bào)針對(duì)性地構(gòu)建其網(wǎng)空攻擊能力。20156NSA“拱形”計(jì)劃（CamberDADA）反映出的美情報(bào)活動(dòng)策略與此如出一轍。在“拱形”計(jì)劃中[2]，NSA主要利用美國(guó)入侵全球運(yùn)營(yíng)商的流量獲取能力，對(duì)卡巴斯基等反病毒廠商和用戶間通信進(jìn)行監(jiān)控，獲取新的病毒樣本，以協(xié)助其策劃能夠繞過(guò)檢測(cè)的網(wǎng)絡(luò)攻擊行動(dòng)，以及研發(fā)可利用的攻擊武器。該計(jì)劃后續(xù)目標(biāo)還包括中國(guó)網(wǎng)絡(luò)安全公司安天在內(nèi)的1623家全球重點(diǎn)網(wǎng)絡(luò)安全廠商。在“金色極光”行動(dòng)中，NSA文件包含通訊加密的詳細(xì)信息，可用來(lái)破解加密和竊聽對(duì)TheRegister刊文分析“金色極光”事件時(shí)指出，NSA的目標(biāo)技術(shù)趨勢(shì)中心（TTTC）GSMA標(biāo)準(zhǔn)機(jī)構(gòu)內(nèi)開展間諜行動(dòng)，以獲取包括加密標(biāo)準(zhǔn)在內(nèi)的新安全協(xié)議的高級(jí)副本，以便能夠在部署之前研究出如何破解它們[3]。事實(shí)上，NSA一直覬覦密碼體系。20139NSA在美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）SP800-90A標(biāo)準(zhǔn)中暗藏后門一事[4][5]，證實(shí)了此前憂慮和懷疑已久的業(yè)界傳聞。NSA長(zhǎng)期對(duì)密碼體系進(jìn)行系統(tǒng)性操控，利用加密標(biāo)準(zhǔn)漏洞對(duì)全球?qū)嵤┍O(jiān)控，破壞了全球?qū)W(wǎng)絡(luò)技術(shù)的信任，也對(duì)全球網(wǎng)絡(luò)安全生態(tài)造成極大損害。參考資料Gallagher.TheIntercept.AURORAGOLD：HowtheNSAHacksCellphoneNetworks2014./2014/12/04/nsa-auroragold-hack-cellphones/美國(guó)情報(bào)機(jī)構(gòu)網(wǎng)絡(luò)攻擊的歷史回顧——基于全球網(wǎng)絡(luò)安全界披露信息分析.2023.http://www.china-/AQLMWebManage/Resources/kindeditor/attached/file/20230411/20230411161510_6312.pdfIainThomson.TheRegister.SnowdenfilesshowNSA'sAURORAGOLDpwned70%ofworld'smobenetworks.2014.wned_70_of_worlds_mobile_networks/NicolePerlroth,JeffLarson,ScottShane.TheNewTimes.NSAAbletoFoilBasicSafeguardsofPrivacyon2013.https:///2013/09/06/us/nsa-foils-much-internet-encryption.htmlJamesBall,JulianGlennGreenwald.TheGuardian.Revealed:howUSandUKspyagenciesdefeatinternetprivacyandsecurity.2013.https:///world/2013/sep/05/nsa-gchq-encryption-codes-security第七篇 偽裝的基站——廣泛使用偽基站監(jiān)控手機(jī)國(guó)際移動(dòng)用戶識(shí)別碼IMSI用于識(shí)別移動(dòng)電話用戶在全球范圍內(nèi)的身份。IMSI位于手機(jī)SIM卡當(dāng)中，由15位數(shù)字組成，包含國(guó)家代碼、移動(dòng)網(wǎng)絡(luò)代碼和用戶識(shí)別碼等信息。手機(jī)在與移動(dòng)網(wǎng)絡(luò)建立連接時(shí)，使用IMSI完成認(rèn)證后，合法接入網(wǎng)絡(luò)。攻擊者使用偽基站設(shè)備，強(qiáng)制手機(jī)與其連接，獲取手機(jī)IMSI、仿冒身份認(rèn)證、建立網(wǎng)絡(luò)與手機(jī)的中轉(zhuǎn)連接，從而竊取通信數(shù)據(jù)。美情報(bào)機(jī)構(gòu)和執(zhí)法部門長(zhǎng)期、廣泛使用Stingray等偽基站對(duì)手機(jī)實(shí)施監(jiān)控。圖7-1FBI、NSA、DHS等使用偽基站設(shè)備案例清單（一）美情報(bào)機(jī)構(gòu)和執(zhí)法部門廣泛使用偽基站201358日，美國(guó)公民自由聯(lián)盟（ACLU）和電子前沿基金會(huì)（EFF）公開了一份簡(jiǎn)報(bào)[1]FBI入性監(jiān)視技術(shù)和設(shè)備進(jìn)行手機(jī)信息收集，其中所涉及的設(shè)備為美國(guó)防承包商HarrisStingray。StingrayIMSI捕獲器[2]方式開展工作，對(duì)于基站它是偽裝的手機(jī)，對(duì)于手機(jī)它是偽裝的基站。圖7-2Stingray偽基站連接建立后，Stingray就具備了截獲通信數(shù)據(jù)的能力，IMSI和位置信息，還可以竊取通話、3G及以上移動(dòng)網(wǎng)絡(luò)時(shí)，Stingray2G網(wǎng)絡(luò)，并要求手機(jī)采用不加密或可以破解的弱加密技術(shù)進(jìn)行數(shù)據(jù)傳輸，以此來(lái)實(shí)現(xiàn)監(jiān)控目的[3]。Stingray系列設(shè)備可以在車輛、飛機(jī)、直升機(jī)和無(wú)人機(jī)上安裝使用。手持版StingrayKingFish,可隨身攜帶使用。2020731日美國(guó)“攔截者”網(wǎng)站發(fā)布文章[3]Stingray定位手機(jī)，獲取短信、電子郵件和語(yǔ)音通話等信息，并通過(guò)情報(bào)合作在運(yùn)營(yíng)商的協(xié)助下掌握手機(jī)持有人的身份和住址信息，獲取通聯(lián)關(guān)系。Stingray設(shè)備可以將目標(biāo)精準(zhǔn)定位在米級(jí)范圍內(nèi)，通過(guò)測(cè)量手機(jī)與Stingray設(shè)備的信號(hào)強(qiáng)弱鎖定目標(biāo)。2014年11月13日《華爾街日?qǐng)?bào)》披露[4]，從2007年開始，美國(guó)法警局就在小型通用飛機(jī)上安裝了名為“臟盒”（Dirtbox）的偽基站。該設(shè)備由美國(guó)防承包商波音公司旗下的數(shù)字接收器技術(shù)公司制造，用于大范圍收集手機(jī)用戶的個(gè)人和位置信息[5]IMSI號(hào)碼和位置信息，在飛機(jī)上就能將目標(biāo)手3Stingray相比，空中的“臟盒”能夠收集更多的數(shù)據(jù)，更方便、快速地在廣闊的區(qū)域移動(dòng)。圖7-3Dirtbox（DRT2101A）偽基站隨著移動(dòng)網(wǎng)絡(luò)技術(shù)的發(fā)展，美情報(bào)機(jī)構(gòu)和執(zhí)法部門不斷的更新采購(gòu)該類設(shè)備。Harris公司為其研發(fā)了多款針對(duì)3G、4G網(wǎng)絡(luò)的偽基站。加拿大Octasic公司生產(chǎn)的偽基站也成為美情報(bào)機(jī)構(gòu)和執(zhí)法部門的采購(gòu)目標(biāo)，Octasic的設(shè)備2G、3G、4G8個(gè)頻段開展工作[6]。偽基站被美政府部門和軍隊(duì)大量使用。根據(jù)美國(guó)公民自由聯(lián)盟披露的信息[7]，StingrayIMSI美海軍、美海軍陸戰(zhàn)隊(duì)、FBI、美國(guó)土安全部、美法警局等多個(gè)政府機(jī)構(gòu)和軍隊(duì)單位使用。一名FBI人員在接受媒體采訪時(shí)稱[8]10Stingray300次，美警察、特勤局以及其他聯(lián)邦機(jī)構(gòu)每天都在使用這一技術(shù)。美國(guó)公民自由聯(lián)盟和美媒體披露數(shù)據(jù)顯示，美國(guó)土安全部在20132017Stingray1885次[9]，20172019466次[10]。美眾議院監(jiān)督委員會(huì)報(bào)告顯示，美司法部擁有310套偽基站，美國(guó)土安全部擁有124套偽基站。20102014財(cái)年，美司法部在偽基站技術(shù)7100萬(wàn)美元，美國(guó)土安全部在偽基站技術(shù)上的支出超過(guò)2400萬(wàn)美元[11]。（二）偽基站