本文参考自:《美情报机构针对全球移动智能终端实施的监听窃密活动》
1.针对 SIM 卡漏洞的高度复杂攻击 - Simjacker 漏洞
事件:2019 年 9 月,爱尔兰网络安全公司曝光一起利用 SIM 卡 S@T 浏览器中 Simjacker 漏洞,针对墨西哥、哥伦比亚和秘鲁的手机用户实施的网络攻击活动
原理:
Simjacker 攻击利用部分运营商发行的 SIM 卡中 S@T 浏览器对收到的消息有效性不做校验这个安全配置错误,实现对目标远程定位等攻击
1、第一步:攻击者使用普通手机、GSM 调制解调器或者 A2P 短信服务,向攻击目标发送 SMS-PP(点对点)类型的短信,目标应用是 SIM 卡中的S@T 浏览器;
2、第二步:攻击目标收到 SMS-PP 类型的短信后,手机上的逻辑被触发,S@T 浏览器成为 SIM 卡上的执行环境, SIM 卡“接管”手机,接收和执行敏感指令;
3、第三步:攻击代码一旦从手机检索到位置和特定设备信息(国际移动设备识别码 IMEI)等信息,就会对其进行整理,并再次触发手机上的逻辑,通过“数据消息”将并后的信息发送到接收者号码。
影响:
理论上 S@T 浏览器能够执行的命令包括获取设备当前位置、IMEI 信息、网络信息、语言信息、发送短信、播放音频、启动浏览器等,因此甚至能够强制手机发送虚假短信、拨打电话进行电信欺诈、打开恶意网站等
- Simjacker 漏洞攻击的特别之处一是受害者完全无感,收到的带有攻击消息的短信及发送的数据消息均未在短信记录中留痕
- 该攻击可能是 “第一个真实存在的在短信中发送完整的恶意软件本身的案例”。以前通过短信发送的恶意软件仅发送其链接,需要用户点击链接下载
- 因为漏洞依赖于 SIM 卡上的软件而不是移动设备,所以种类型手机均会遭受攻击。苹果、摩托罗拉、三星、谷歌、华为、中兴等几乎每个制造商的移动设备都被观察到遭受攻击,甚至还有带有 SIM 卡的物联网设备
特点:
1、实施 Simjacker 攻击的组织还可以广泛访问 SS7 网络。SS7 是通常用于局间的公共信道信令,叠加在运营者的交换网之上,是支撑网的重要组成部分,能登入 SS7 网络发起攻击的黑客,很大概率具备国家背景
2、根据斯诺登曝光的资料,一些拉美国家已成为 NSA 监视的主要目标,尤其是哥伦比亚、委内瑞拉、巴西和墨西哥。该报道证实了 NSA对墨西哥等国的移动用户有特定的兴趣。隐藏在Simjacker 攻击后的“幕后黑手” NSA 已浮出水面
2.窃取手机 SIM 卡加密密钥
SIM卡加密密钥简介:
SIM 卡加密密钥是移动通信的重要组成部分,是保障通信安全的基础之一。该密钥在生产过程中由 SIM 卡制造商刻入 SIM 卡,并提供给网络运营商
有了目标手机的加密密钥,攻击者将更容易实现伪基站与目标手机的认证连接,特别是在安全性更高的 3G、4G 网络中。拥有了加密密钥将更容易破解通信加密,还原出明文通信内容
事件:
2010年至 2011 年间,美英情报机构对荷兰 SIM 卡制造厂商金雅拓(Gemalto)实施“DAPINO GAMMA”行动,以窃取手机加密密钥
攻击原理:
1、行动中 MHET 使用NSA 的 XKEYSCORE 系统截获了金雅拓公司与移动运营商邮件服务器上的大量电子邮件,通过对邮件内容的分析找到可能有权访问金雅拓核心网络和密钥生成系统的重点人员或线索
2、XKEYSCORE 是 NSA 用于检索和分析全球互联网数据的系统。XKEYSCORE 系统通过分布全球 150 个站点的服务器,实时拦截电子邮件、网络电话、网络聊天记录以及浏览历史等数据。分析人员可以通过姓名 、电话号码、IP地址、浏览器等多种关键字来查找目标网络活动的内容数据和元数据
3、入侵金雅拓公司的内部网络:为了更方便、更准确的窃取 SIM 卡加密密钥,MHET 还入侵了金雅拓公司的内部网络,在多台内部计算机上植入恶意软件
4、为了进一步更大范围、更大量的窃取金雅拓与移动运营商之间传输的加密密钥,美英情报人员还专门开发了一种自动化拦截、采集密钥的程序
3.针对苹果手机的“零点击”攻击 - 三角测量行动
事件: 2023 年 6 月俄罗斯联邦安全局(FSB)发表声明,指责 NSA 实施了针对苹果手机的“三角测量行动”(攻击过程中使用了绘制并验证三角形来识别目标的技术)
攻击原理:
1、攻击者首先通过 iMessage 服务器向目标 iOS 设备发送包含隐藏恶意附件的 iMessage 信息
2、先利用 WebKit 内存损坏和字体解析漏洞获取执行权限
3、随后利用整形溢出漏洞提升得到内核权限
4、再利用多个内存漏洞突破苹果硬件级的安全防御功能,在设备上执行并植入恶意程序
5、恶意程序悄悄地将手机内的个人信息自动传输到设置好的远程服务器上。包括麦克风录音、即时通信的照片、地理位置以及设备的其他数据
特点:
1、卡巴斯基针对主要的植入武器进行分析并将其命为 TriangleDB。TriangleDB 在获取 iOS 系统内核 ROOT 权限后仅部署在手机内存中,手机重新启动后 TriangleDB 就会消失
2、如果在整个攻击过程中手机始终没有重启,TriangleDB 也将在 30 天后自行卸载消失,这一特性进一步增加了其隐蔽性
3、TriangleDB 在被部署前还有一个被称为“二进制验证器”的组件,该组件负责删除日志痕迹以及搜集命中设备的详细信息,并将这些信息发回 C2 服务器供攻击者判断设备价值, 决定是否执行 TriangleDB 流程
4、若通过“二进制验证器”的组件, TriangleDB 则从 C2 服务器加载调用多个子间谍模块,包括麦克风录音模块、KeyChain 凭证获取模块、SQLite 数据库窃密模块、GPS 定位模块、短信窃密模块等,支持攻击者开展窃密活动,期间所有通信流量都经过对称(3DES)和非对称(RSA)算法加密并通过 HTTPS 协议进行交换
5、攻击者将数据写入特定的物理地址,同时通过将数据写入固件中未使用芯片的未知硬件寄存器来绕过基于硬件的内存保护
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
