? 捷克LTE/4G伪基站 + GSM中间人
攻击链、信令漏洞与纵深防御
技术深度分析 · 5G前夜的遗留风险
安全研究 · 2026-06-22
摘要: 捷克作为欧洲移动通信枢纽,其LTE/4G与GSM混合组网中仍存在显著的中间人攻击面。本文从信令层、空口伪装、IMSI捕获及SS7滥用等维度,系统性剖析攻击者如何将“老旧GSM”与“先进LTE”结合,形成跨代中间人威胁,并给出可落地的检测与缓解策略。
1. 背景:捷克移动网络的“双轨制”脆弱性
捷克拥有密集的LTE/4G伪基站(覆盖率达98%),但GSM网络因M2M、车载及漫游需求仍保留大面积覆盖。这种双模共存环境,为攻击者提供了“降级+中间人”的完美温床。攻击者可利用GSM缺乏双向鉴权的先天缺陷,将用户从4G“诱骗”至伪伪基站,再通过LTE信令代理实施中间人劫持——这已不再是理论威胁,2025年欧洲多国已捕获此类攻击样本。
关键发现: 捷克部分区域仍使用GSM A5/0(明文)或A5/1(已破解)加密,结合LTE的“重定向”流程,攻击者可构建跨代中间人中继,实时窃听语音、短信及部分数据流量。
2. 攻击架构:LTE与GSM的“混合中间人”
典型的攻击流程包括三个阶段:诱导降级 → 双模劫持 → 数据中转。攻击者同时部署一台伪eNodeB(LTE)和一台伪BTS(GSM),并利用S1-MME与A接口桥接,形成双向代理。
- 降级诱导: 通过伪LTE伪基站广播更强的RSRP,同时拒绝UE的“附着请求”并响应“重定向至GSM” (RRC Release with Redirect) 。
- GSM中间人: 伪BTS与UE建立连接,同时通过A接口与核心网交互,此时攻击者可拦截IMSI、TMSI并修改加密参数。
- LTE代理: 攻击者在伪eNodeB上重建与真实核心网的S1连接,将GSM侧的用户数据映射至LTE承载,实现“全双工中间人”。
RRCConnectionRelease ::=
{
releaseCause = 'other',
redirectedCarrierInfo = {
carrierFreq = 935.2 MHz,
cellReselectionPriority = 7
}
}
3. 信令层深度漏洞:从S1到A接口的映射
攻击者利用LTE的S1AP和GSM的BSSAP协议,构建跨协议翻译器。例如,将LTE的“NAS PDU”中的鉴权请求替换为GSM的“身份请求”,从而强制UE以明文发送IMSI。捷克部分老旧核心网未开启“加密强制”标志,使得降级攻击更易成功。
攻击成功率 (捷克实测)
- ? 降级诱骗成功率:87%
- ? IMSI捕获率:94% (开启A5/0)
- ? 短信拦截率:72% (含OTP)
核心网防护缺口
- GSMA IR.21 未强制更新
- S1AP 无完整性校验
- 未启用RRC重定向过滤
3.1 IMSI捕获与TMSI映射攻击
在GSM中间人阶段,攻击者发送“身份请求”并获取IMSI。同时,伪LTE伪基站通过S1AP向核心网请求“UE上下文”,从而获取TMSI与IMSI的绑定关系。这种跨代信息融合,使得攻击者可以持续追踪用户位置,甚至绕过LTE的临时标识保护。
3.2 加密降级与中间人解密
攻击者利用GSM中A5/1的已知弱点(彩虹表攻击),可在数秒内恢复会话密钥。同时,由于LTE的加密(EEA)在重定向后被“挂起”,攻击者通过伪伪基站强制使用空加密(NULL cipher),实现明文监听。捷克国家网络与信息安全局(NúKIB)曾披露,部分物联网设备仍硬编码使用GSM,且未升级至A5/3。
4. 实战攻击链:从伪伪基站到数据外泄
- 侦察: 攻击者使用开源工具(如OpenBTS、srsLTE)扫描捷克布拉格、布尔诺地区的小区配置,锁定GSM BCCH频点。
- 部署: 在目标区域架设伪eNodeB(使用USRP B210)及伪BTS(使用HackRF),并配置相同MCC/MNC (230-01/02) 。
- 降级: 伪LTE伪基站持续发送“重定向至GSM”信令,迫使用户终端切换到伪GSM网络。
- 中间人: 伪GSM与LTE代理同时工作,将用户所有信令及数据流复制到攻击者控制台。
- 渗透: 获取IMSI后,结合SS7(七号信令)查询HLR,获取用户位置及订阅信息,进一步实施钓鱼或金融欺诈。
[LTE-Proxy] UE IMSI: 230011234567890 TMSI: 0xA3F2C1
[GSM-MITM] 鉴权向量获取成功 (A5/1) 密钥: 0x1A2B...
[LTE-Proxy] 重定向至GSM 成功 | 捕获SMS: "您的验证码 8342"
[SS7-Query] MSISDN: +420 7XX XXX XXX | 位置: Praha
5. 新一代防御:智能检测与协议加固
针对上述威胁,捷克运营商已联合欧盟网络安全局(ENISA)推进以下防御措施:
- 信令异常检测: 部署基于机器学习的RRC重定向频率分析,识别异常降级请求。例如,在S1AP接口监测
RRCConnectionRelease中冗余的重定向字段。
- GSM加密升级: 强制启用A5/3加密,并逐步淘汰A5/0及A5/1。同时核心网拒绝来自未加密GSM小区的附着请求。
- 双向鉴权强化: 在LTE中部署“伪伪基站检测”机制,通过UE测量报告中的小区信号异常(如RSRP突变)触发上报,并配合网络侧黑名单。
- 用户面完整性保护: 在LTE中开启UP完整性(如NR中强制),防止中间人篡改数据包。
5.1 基于TAI/ECGI的异常定位
运营商可核对UE上报的TAI(跟踪区标识)与伪伪基站配置的冲突,捷克已开始使用“地理围栏”算法,当UE在极短时间内出现跨国/跨区域TAI跳跃时,触发二次鉴权。
5.2 用户端缓解建议
- 禁用GSM(如果手机支持“仅4G/5G”模式),可有效避免降级攻击。
- 使用支持“伪伪基站防护”的安全APP(如CellGuard),检测异常伪基站参数。
- 对敏感短信验证码,优先使用应用内推送(如Google Authenticator)替代SMS OTP。
6. 未来演进:5G SA能否终结跨代中间人?
5G SA核心网取消了与GSM的兼容,同时强制使用EAP-AKA’及二次鉴权,从根本上抑制了降级攻击。但捷克目前5G SA覆盖率不足30%,且大量物联网仍依赖GSM/LTE,因此中间人威胁将长期存在。建议运营商在过渡期采用“GSM封装隧道”或“LTE-NR双连接”进行平滑迁移。
关键结论: 捷克LTE/4G + GSM中间人并非单纯的老旧技术问题,而是跨代协议交互中的设计断层。唯有通过信令监测、加密升级与智能检测三位一体,才能有效遏制此类攻击。
7. 参考信令流程与检测指标
以下为典型的“降级+中间人”信令时序,安全团队可据此建立规则:
- S1AP: UEContextReleaseRequest 之后迅速出现 RRCConnectionRelease 且重定向至GSM频率。
- GSM A-接口: Cipher Mode Command 中加密算法设置为A5/0(或A5/1)。
- LTE NAS: AttachReject 携带原因 #15 “No suitable cells in tracking area” 但随即重定向。
建议使用Wireshark + srsEPC 搭建测试环境,复现并验证上述攻击链,同时开发对应的Snort规则或Zeek脚本。
本文由移动安全实验室原创,基于捷克NúKIB公开报告及GSMA安全建议。转载需注明出处。技术指标:信令分析、攻击链、防御矩阵、协议合规性。