糟糕的连接揭秘隐蔽监控行为者对全球电信的利用关键发现据研究发现攻击者采用多向量监控结合使用 3G 和 4G 信令网络协议通过 SMS 直接攻击设备追踪目标。在一场攻击中攻击者发送含隐藏 SIM 卡命令的恶意 SMS 提取位置信息试图将设备变为隐蔽追踪信标。两个攻击者使用定制监控工具伪造运营商身份操纵信令协议引导流量通过特定互联网络路径逃避防御并掩盖攻击来源。攻击利用了与全球运营商相关的标识符和基础设施涉及英国、以色列、中国等多地网络显示出广泛全球影响力。移动信令安全提供商 Cellusys 提供的遥测数据显示运营商标识符多年间被重复使用形成一致集群使长期监控操作得以持续。此外运营商间提供商的安全防护薄弱对互联流量筛选不足让攻击者可通过受信任的运营商路径路由监控消息访问目标网络。引言近年来多项调查揭示移动电信生态系统漏洞以及政府安全机构利用这些漏洞追踪国外目标的情况。这些研究包括公民实验室的多篇报告及其他研究人员的工作。本研究在此基础上进一步探究导致定向监控的结构性弱点。2024 年末公民实验室在移动信令防火墙日志中发现异常事件结合 Cellusys 提供的情报展开对协同定位跟踪活动的调查。最初看似孤立事件最终揭示两个不同商业监控供应商利用全球电信生态系统进行长期间谍活动。2024 年 11 月第一次攻击发生攻击者通过多阶段行动利用多个 3G 和 4G 网络追踪一名高知名度移动用户该用户是一家知名公司高管为高价值监控目标。2025 年初又发现一次协同跟踪事件攻击者使用特殊格式 SMS 消息。两次攻击虽技术不同但都展示先进、高度结构化且反复使用的方法符合专门设计的监控平台特点。通过与移动行业合作伙伴合作利用信令日志、数据包捕获等元数据对高级监控活动进行广泛调查确定了与以色列、英国和海峡群岛运营商网络相关的 4G 基础设施这些国家此前也与针对移动用户的商业监控供应商有关联。研究发现凸显全球电信领域系统性问题运营商基础设施被用于隐蔽监控操作此类活动持续且未受惩罚引发对责任、监督和全球安全的思考。研究方法本报告基于与多家行业公司合作分析包括信令防火墙提供商 Cellusys、国际信令网络提供商 Telenor Linx、电信数据情报提供商 Roaming Audit 以及电信网络安全公司 P1 Security。通过将信令数据与其他独立数据源关联验证研究结果分析消息在全球互联生态系统中的提交、路由和传递方式。这些数据源包括移动运营商 GSMA 行业文件中的移动网络配置信息、电信域名系统记录、边界网关协议路由数据和自治系统编号注册信息、国家电信监管机构的公开记录。分析方法1. 可疑信令活动检测识别国际信令流量中与已知监控技术匹配的命令涉及 3G SS7 和 4G Diameter 信令协议其重复和模式化使用通常与监控活动相关。2. 监控活动模式识别分析来自单个运营商信令地址的短时间内重复命令流量识别同一时间段内多个运营商之间的协同活动以识别不同监控活动。3. 目标验证Cellusys 验证每个活动针对特定用户手机标识符确认跨多个运营商标识符的一致目标模式并关联定位跟踪尝试的时间和顺序。4. 行为者特征识别和聚类通过对信令特征进行技术指纹识别确定不同监控行为者寻找顺序或模式化的事务标识符、非标准消息格式等。5. 基础设施映射和路由分析将运营商标识符与外部数据源关联绘制攻击流量进入和穿越信令互联生态系统的路径。6. 历史关联将观察到的攻击指标与历史遥测数据关联衡量活动持续时间以及同一运营商基础设施多年间的重复使用情况。局限性和归因说明攻击中观察到的运营商信令地址不一定意味着运营商直接参与攻击者可通过第三方提供商等使用合法网络的运营商标识符发送消息。本分析主要探讨攻击活动中如何利用信令基础设施虽未直接将攻击归因于特定政府或组织但有指标表明可能是支持国家支持的情报活动的商业监控平台参与其中。背景移动通信中信任的持续破裂为理解报告中攻击的发生原因需研究移动网络通信方式及运营环境。连接全球移动运营商的系统使用融合了 SS7 和 Diameter 的协议SS7 虽为遗留协议但仍在国际漫游等方面发挥关键作用这种易受攻击的协议混合为监控行为者创造机会。这些漏洞是全球电信设计和商业实践所固有移动生态系统由众多运营商通过漫游和信令协议连接更注重效率等而非安全性导致出现隐蔽市场间谍行为者将电信网络武器化用于全球监控。设计缺陷导致的不安全安全问题根源在于基础信令协议。SS7 协议缺乏 IP 网络基本安全机制如身份验证、完整性检查和加密。Diameter 协议设计上有更强安全控制引入安全组件但运营商大多未实施这些保护措施继续依赖点对点信任模式且关键操作安全措施很少执行4G 网络仍易受 3G 相关监控技术攻击。什么是 IR.21IR.21 是移动运营商通过 GSMA 共享的文档规范包含运营商网络技术和运营细节了解其数据的攻击者可利用信息识别网络元素或创建看似合法的信令消息。获得全球信令生态系统访问权限的行为者可向世界各地网络发送信令命令由于协议不验证命令来源恶意信令流量可伪装成合法运营商网络节点实现定位跟踪等攻击。此外广泛的提供商与运营商间网络建立连接第三方平台能生成信令查询购买其服务的行为者可间接进入私人信令生态系统。现代 4G/5G 网络与旧 3G 系统互操作性带来额外安全风险攻击者可利用双重注册功能在 Diameter 和 SS7 协议间切换攻击当运营商缺乏防火墙保护时遗留 SS7 协议的不安全性更加严重。电信监控行为者一个拥挤而隐蔽的市场十多年来研究人员记录了威胁行为者利用信令网络漏洞的情况。大规模攻击需要将多个信令协议集成到指挥与控制C2系统中这需要深厚专业知识、专门工具和对私人移动网络基础设施的特权访问只有少数资源充足的行为者能满足这些要求。电信监控生态系统由与国家相关的间谍服务和商业监控供应商组成观察到的电信攻击多样性和持续性表明这两个群体都在利用漏洞。关联方报告的电信监控活动国家支持的间谍行为者Salt Typhoon中国国家安全部MSS与针对电信基础设施的网络间谍活动以及针对多国政府官员的活动有关。Liminal PandaLightBasin与中国有关联的间谍行为者以入侵电信运营商网络收集用户信息等闻名使用定制信令工具。MuddyWater伊朗情报和安全部MOIS对非洲和中东的电信提供商进行网络行动。商业监控供应商Circles、Cognyte、Rayzone、Defentek不同实体在 2024 年 2 月美国参议员 Ron Wyden 致时任总统乔·拜登的信中被提及呼吁对多个电信监控供应商实施制裁。RCS Lab / TykelabCy4gate意大利混合监控平台提供商将设备间谍软件与电信信令监控能力相结合。Fink Telecom ServicesFTS瑞士电信信令和 SMS 路由公司据报道租赁了 SS7 全球标题其平台具备定位跟踪和拦截能力。Rayzone Group以色列调查报道将该公司与从泽西岛、根西岛和全球其他网络租赁电信信令访问权联系起来。政府机构对“现成的”电信监控服务有强烈需求这些服务通过中介代理直接或间接访问移动运营商或提供商网络使监控流量融入合法漫游操作。全球监控的隐蔽层面电信级监控对安全社区几乎不可见攻击发生在封闭生态系统中安全研究社区难以进入攻击很少公开曝光技术和基础设施往往隐藏信令消息传输执行力度不足形成监控盲点。攻击者可通过使用合法信令标识符和互联提供商伪装成受信任的运营商冒用运营商身份掩盖身份。运营商向第三方提供基础设施访问权限的做法赋予监控行为者权力给公民社会带来危害且很难将攻击归因于国家和非国家行为者。网络幽灵追踪移动网络攻击的来源历史上运营商部署 SS7 防火墙阻止未经授权的信令消息以应对 SS7 定位跟踪公开报道及 GSMA 发布的安全指南。那么如何才能更有效地防范这些隐蔽的电信监控活动呢