蒙古LTE/4G伪基站 + GSM中间人攻击

在蒙古国，随着4G/LTE网络的快速部署，GSM老旧基础设施与新型伪基站并存，形成了独特的攻击面。中间人攻击（MITM）利用协议降级、信令欺骗和伪伪基站技术，对用户隐私与通信完整性构成严重威胁。本文从技术原理、实际案例与防御对策三个维度展开。

1. 蒙古移动网络生态：LTE与GSM的“双轨制”风险

蒙古国主要运营商包括 Mobicom、Unitel 和 Skytel。尽管4G覆盖已扩展至主要城市，但偏远地区仍依赖GSM（2G）提供基础语音和低速数据。这种 “双轨制” 为攻击者提供了降级攻击的土壤——通过干扰LTE信号，迫使终端回退到GSM，进而实施中间人监听。

2. 中间人攻击（MITM）在移动网络中的实现

中间人攻击的核心是在用户设备（UE）与真实伪基站之间插入一个恶意“伪伪基站”或信令拦截节点。攻击者利用 GSM的单向鉴权 和 LTE的“无保护”寻呼 机制，诱骗终端连接虚假网络。

• GSM侧： 伪伪基站广播更强的信号，劫持IMSI（国际移动用户识别码），随后可加密降级为A5/0或A5/1弱加密，实现语音窃听和短信拦截。
• LTE侧： 攻击者利用“假冒MME”（移动管理实体）或“S1接口欺骗”，发起去附着请求，迫使UE重新附着过程中泄露临时标识，或通过“静默重定向”将用户拉向2G网络。

在蒙古，由于部分伪基站回传链路未采用IPsec或MACsec加密，中间人甚至可以直接在传输层注入信令消息，实现 双向流量劫持。

2.1 实际攻击链：从GSM嗅探到4G信令篡改

3. 蒙古LTE/GSM特有的漏洞场景

• ? 跨境干扰： 蒙古与中俄接壤，边境地区常出现异国伪基站信号，部分未严格鉴权，成为MITM跳板。
• ? 伪基站回传采用公网IP： 一些偏远伪基站通过卫星或微波回传，且管理接口暴露于公网，攻击者可扫描并注入伪造的X2或S1AP消息。
• ? 用户终端偏好GSM： 部分IoT设备或老旧手机未开启“LTE优先”，容易被伪2G伪基站捕获。

4. 深度技术：LTE中的“降级”与“重定向”攻击

在LTE网络中，攻击者可通过 RRC连接释放 消息中的“redirectCarrierInfo”字段，强制UE重选到GSM频率。同时，利用“IDLE模式”下的周期性TAU更新，伪造MME发送“Authentication Reject”以触发新的鉴权流程，在此过程中截取RES和AUTN参数用于离线破解。

5. 检测与防御：构建多维度防护体系

5.1 运营商层面

• 部署A5/3加密： 关闭GSM网络中的A5/0和A5/1，强制启用A5/3（KASUMI）算法。
• 启用LTE的增强鉴权： 确保EPS-AKA使用新鲜参数，并启用“重同步”检测机制。
• 核心网信令过滤： 在S1-MME接口部署入侵检测系统（IDS），识别异常DETACH或TAU频率。
• 回传链路加密： 强制使用IPsec VPN或MPLS over MACsec，防止中间人注入。

5.2 终端及用户侧

• 禁用2G/GSM功能（如支持），强制仅使用LTE/WCDMA。
• 安装可检测伪伪基站的APP（如 Cell Spy Catcher），监控小区ID和信号突变。
• 敏感通信使用端到端加密应用（如Signal、Wire），抵抗信令层监听。

6. 安全指标与攻防对比

7. 安全研究建议与未来展望

针对蒙古LTE/GSM的中间人攻击，建议安全团队：

• 定期进行伪伪基站路测，绘制“幽灵小区”热力图。
• 利用开源工具（如 YateBTS、OpenBSC）模拟攻击环境，验证防护策略。
• 推动运营商升级至VoLTE，并关闭GSM（或采用GSM混淆保护）。

随着5G逐步引入，基于SUCI的隐私保护和更强的加密将从根本上缓解IMSI捕获，但GSM的“长尾效应”仍将持续。蒙古作为“一带一路”重要节点，其通信安全对整个区域具有示范意义。